当前位置: 首页 > article >正文

Apache换行解析漏洞(CVE-2017-15715)

article 2024/11/19 0:43:56

漏洞简介

Apache換行解析漏洞(CVE-2017-15715)是一种解析漏洞,可以影响httpd 2.4.0至2.4.29版本中的PHP解析。攻击者可以通过在上传的文件名中添加特定的换行符,绕过服务器的安全策略,使其被解析成PHP文件而不是普通文件。此漏洞会影响具有以下条件的服务器:

  • 未正确配置的服务器
  • 未对文件名进行适当验证的服务器
  • 使用正则表达式并启用Multiline属性的服务器

攻击者可以将1.php\x0A作为文件名上传到服务器上,这个文件名看起来像是一个普通的非PHP文件,但是由于其中的特定字符,服务器会将其解析为PHP文件。此外,在上传文件时添加换行符也可以使文件被成功解析,从而绕过系统的黑名单检测。

  • x0A 是一个十六进制的转义字符,表示换行符

vmihub靶场搭建(参考)

配置yum源

# 备份原来的源文件(可选)
cd /etc/yum.repos.d
mkdir beifen
mv *.repo beifen


# 配置阿里源
curl -O http://mirrors.aliyun.com/repo/Centos-7.repo
curl -O http://mirrors.aliyun.com/repo/epel-7.repo
curl -O http://mirrors.aliyun.com/repo/epel-testing

http://www.kler.cn/a/147132.html

相关文章:

  • 如何在 Ubuntu 上安装 Emby 媒体服务器
  • JS的学习与使用
  • Go 语言切片初始化与性能优化:使用 cap 参数的重要性
  • windows C#-异步编程概述(二)
  • 从建立TRUST到实现FAIR:可持续海洋经济的数据管理
  • 在 Node.js 中解决极验验证码:使用 Puppeteer 自动化
  • 红米手机如何远程控制荣耀手机?
  • 在OpenCV中基于深度学习的边缘检测
  • nuxt、vue实现PDF和视频文件的上传、下载、预览
  • go语言基础 break和contine区别
  • Mac 搭建本地服务器
  • 云原生系列Go语言篇-泛型Part 1
  • 2-Python与设计模式--前言
  • MIT6.824-Raft笔记:Raft初探、副本间log时序
  • Electronica慕尼黑电子展 Samtec团队与21ic分享虎家产品与方案
  • AI - Steering behaviors(转向系统)
  • 阶段二:进阶知识(掌握Python的常用设计模式)
  • FinGPT:金融垂类大模型架构
  • [⑥ADRV902x]: 软件系统初始化流程学习
  • SWT/Jface(4): TreeViewer渲染简单树对象
  • 递归实现选择排序.
  • js执行异常处理 箭头函数 正则表达式
  • 二、Lua数据类型
  • 运维01:云计算
  • 华为ospf路由协议防环和次优路径中一些难点问题分析
  • 力扣算法练习BM50—两数之和