当前位置:首页 > 技术文章 > 安全攻防 > 漏洞信息

Apache 解析漏洞复现环境PHP 7.x 最新版+Apache 2.4.10 稳定版

发布时间:2017-12-07 13:01:15 作者: 来源: 点击量:
Apache 解析漏洞复现环境
 
该环境版本:
 
PHP 7.x 最新版
Apache 2.4.10 稳定版(来自debian源)
由此可知,该漏洞与Apache、php版本无关,属于用户配置不当造成的解析漏洞。
 
直接执行docker-compose up -d启动容器,无需编译。启动后访问http://your-ip/uploadfiles/apache.php.jpeg即可发现,phpinfo被执行了,该文件被解析为php脚本。
 
http://your-ip/index.php中是一个白名单检查文件后缀的上传组件,上传完成后并未重命名。我们可以通过上传文件名为xxx.php.jpg或xxx.php.jpeg的文件,利用Apache解析漏洞进行getshell。
 

 

 

来自:https://github.com/vulhub/vulhub/tree/master/apache_parsing_vulnerability(靶场演练)

 

本文链接:http://www.topjishu.net/article/35.html,如有转载,请注明出处!


关键词:Apache解析漏洞


发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表