首页 web安全

1.Htaccess

.htaccess是Apache服务器中的一个配置文件,它负责相关目录下的网页配置,通过htaccess可以实现301从定向,自定义404错误页面,改变文件扩展名,允许/阻止特定的用户访问没目录,禁止目录列表,配置默认文档等功能,

对于.htaccess文件上传利用,我们只需要知道.htaccess文件能够设置服务器解析文件的格式 比如 设置匹配到aaa就用php的格式来解析

2.配置htaccess文件

Apache要使.htaccess文件生效要在httpd.config 配置两个地方(百度搜的)

Options FollowSymLinks
AllowOverride None

改为:

Options FollowSymLinks

AllowOverride All

把LoadModule rewrite_module modules/mod_rewrite.so前面的注释符号#删除

添加Htaccess参数

先试试不配置 直接写.htaccess文件 这段代码的意思使匹配到文件名中含有aaa的字符 就以让png解析为php
上传.htaccess 必须是网站根路径

 <FilesMatch "aaa">
SetHandler application/x-httpd-php
 </FilesMatch>

当过滤了< 或者>时,可以采用下面的paylod

AddType application/x-httpd-php shell.ppt

这样我们上传一个图片如:aaa.png然后访问图片将自动将aaa.png解析为php文件执行

3.应用

.htaccess文件可以绕过黑名单文件上传




文章评论