漏洞列表 >>> 文件上传>>>黑名单.htaccess方式

黑名单.htaccess方式


查看答案

漏洞介绍

漏洞名称:利用.htaccess文件上传拿webshell

漏洞解析:htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置.通过htaccess文件,可以实现:网页301重定向、自定义404页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
需要用到的代码如下:

          <FilesMatch "nvhack">
          SetHandler application/x-httpd-php
          </FilesMatch>
          
通过.htaccess文件,调用php的解析器解析一个文件名只要包含“nvhack”这个字符串的任意文件。这个 “nvhack” 的内容如果是一句话木马.即可利用中国莱刀进行连接。
一、建立.htaccess文件
建立.htaccess文件,新建.txt文件,文件名为“.htaccess”。
利用搭建的文件上传页面上传.htaccess文件,修改一句话木马文件为nvhack.jpg直接上传。 访问nvhack.jpg即可得到webshell