.htaccess文件解析漏洞
实验环境:windows2003
实验原理:.htaccess文件
该文件提供了针对目录改便配置的方法。即在一个特定的文档目录中放置一个包含一个或者多个指令的文件,以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。
实验步骤:
1.在PHP study的www目录下创建一个.htaccess目录和1.gif图片,并将1.gif图片放在该目录下,编辑gif的内容为php代码
2.用notepad++打开.htaccess目录,写入以下内容
该方法虽然好用,但是会误伤其他正常文件,容易被发现3.输入路径即可看到php代码已执行
4.用notepad++打开.htaccess目录,写入以下内容
该方法能精确控制能被解析成php代码的文件,不容易被发现,推荐使用该方法5.可看到除1.jpg执行php外,其他都正常显示图片格式