码迷,mamicode.com
首页 > Web开发 > 详细

apache 目录遍历漏洞复现

时间:2020-05-02 22:45:18      阅读:249      评论:0      收藏:0      [点我收藏+]

标签:vhost   exe   sts   info   客户端   出现   环境   vhosts   com   

测试环境:phpstudy2018+win10

漏洞出现原因:Apahce中httpd.conf配置错误导致

原理:当客户端访问到一个目录时,Apache服务器将会默认寻找一个index list中的文件,若文 件不存在,则会列出当前目录下所有文件或返回403状态码,而列出目录下所有文件的行为称为目录遍历。

复现过程:

1、修改httpd.conf

技术图片

 

 

 保证indexes这里是+号,在Indexes前,加 + 代表允许目录浏览;加 – 代表禁止目录浏览。

2、修改vhosts.conf

技术图片

 

 

 也保证indexes是+号,我的phpstudy2018默认在httpd.conf里就是+号,但是在vhosts.conf里是减号,所以两个都改成+。

3、查看自己的index list中的文件是哪几个,

 技术图片

 

4、访问127.0.0.1

技术图片

 

 

 可以看到,现在我的默认文件存在,默认访问我的l.php

5、把l.php更名或删除(其它存在于index list的文件也得相应修改或删除)

技术图片

6、再次访问127.0.0.1,可以看到目录了

技术图片

 

修复措施:把indexes前面的+改为-即可。

 技术图片

 

apache 目录遍历漏洞复现

标签:vhost   exe   sts   info   客户端   出现   环境   vhosts   com   

原文地址:https://www.cnblogs.com/mY-bL0g/p/12819979.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!