当前位置: 首页 > article >正文

Apache HTTPD 换行解析漏洞(CVE-2017-15715)

Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

上传一个1.php,被拦截

在1.php后面插入一个\x0A(注意,不能是\x0D\x0A,只能是一个\x0A),不再拦截。这里可以在hex中在php后面插入“0a”。

访问刚才上传的1.php%0a,可以解析

总结:在apache在2.4.0~2.4.29的环境下上传1.php,在hex中在php后面插入字符“0a”,即可绕过。


http://www.kler.cn/a/381615.html

相关文章:

  • 结构化Prompt:让大模型更智能的秘诀
  • 2024年全球薄膜功率电感器行业总体规模、主要企业国内外市场占有率及排名
  • 一键打断线(根据相交点打断)——CAD c# 二次开发
  • Windows内核开发环境配置
  • C++ Learning string类的使用
  • 微机接口课设——基于Proteus和8086的打地鼠设计(8255、8253、8259)
  • faiss 用于检索10亿向量(维度768)的方法
  • 6. STM32之TIM实验--编码器接口()--(实验5:PWM驱动直流电机)
  • Vue中简单状态管理
  • PyTorch 2.0: 开启深度学习框架新纪元
  • Qt学习笔记第41到50讲
  • ubuntu 24.04中安装 Easyconnect,并解决版本与服务器不匹配问题
  • C#语言发展历史
  • Nginx配置文件编写示例
  • 【ARM Linux 系统稳定性分析入门及渐进 2.1 -- Crash 命令 Session Control 集合】
  • DNS正反向解析,区域备份
  • 计算机毕业设计Python+大模型膳食推荐系统 知识图谱 面向慢性病群体的膳食推荐系统 健康食谱推荐系统 机器学习 深度学习 Python爬虫 大数据毕业设计
  • 室内定位论文精华-20241104
  • 【深度学习】梯度累加和直接用大的batchsize有什么区别
  • c语言简单编程练习10
  • 前后端分离,Jackson,Long精度丢失
  • 命令行参数、环境变量、地址空间
  • Django遍历文件夹及文件
  • 设置HTTP会话(Session)的Cookie域
  • doris使用使用broker从HDFS导入数据
  • ArcGIS/QGIS按掩膜提取或栅格裁剪后栅格数据的值为什么变了?