0x00 简介 在长亭科技举办的 Real World CTF 中,国外安全研究员 Andrew Danau 在解决一道 CTF 题目时发现,向目标服务器 URL 发送 %0a 符号时,服务返回异常,疑似存在漏洞。 在使用一些有错误的Nginx配置的情况下,通过恶意构造的数据包,即可让PHP FPM ...
分类:
Web程序 时间:
2019-10-24 15:50:38
阅读次数:
122
[root@web1 ~]# vim /etc/php-fpm.d/www.conf //修改该配置文件的两个参数 //文件的最后2行 修改前效果如下: php_value[session.save_handler] = files php_value[session.save_path] = /v ...
分类:
其他好文 时间:
2019-10-24 11:57:03
阅读次数:
64
漏洞详情: Nginx上fastcgi_split_path_info在处理带有 %0a 的请求时,会因为遇到换行符 \n 导致PATH_INFO为空。而php-fpm在处理PATH_INFO为空的情况下,存在逻辑缺陷,可以远程代码执行。 影响范围: Nginx+php-fpm的服务器,在使用如下配 ...
分类:
Web程序 时间:
2019-10-24 11:52:17
阅读次数:
99
一、出现这个原因是nginx跟php-fpm的用户的权限不一致导致的在nginx.conf配置用户和组为nginx.conf的usernginxnginx然后再设置web目录权限为nginxnginx反正是用户是一样的
分类:
其他好文 时间:
2019-10-24 11:43:13
阅读次数:
77
php-fpm 启动后没有监听端口9000 location ~ \.php$ { root html; fastcgi_pass 127.0.0.1:9000; #将请求转发给本机9000端口,PHP解释器 fastcgi_index index.php; #fastcgi_param SCRIP ...
分类:
Web程序 时间:
2019-10-24 11:31:47
阅读次数:
258
云计算学习路线教程大纲课件:关于HTTPServer:========================================================静态元素:.html.imgjscssswfmp4动态元素:.php.jsp.cgi.aspphpSQLWebServer:Nginx(Tengine)、Apache、IISWeb中间件:php:PHP-fpm、HHVMjsp:Tom
分类:
Web程序 时间:
2019-10-22 10:31:37
阅读次数:
97
启动php-fpm: /usr/local/php/sbin/php-fpm php 5.3.3 以后的php-fpm 不再支持 php-fpm 以前具有的 /usr/local/php/sbin/php-fpm (start|stop|reload)等命令,所以不要再看这种老掉牙的命令了,需要使用 ...
分类:
Web程序 时间:
2019-10-17 20:25:01
阅读次数:
462
dokuwikihttps://blog.51cto.com/blogger/draft/8396551yuminstallepel-release2rpm-Uvhhttp://rpms.famillecollet.com/enterprise/remi-release-7.rpm3yuminstall--enablerepo=remi--enablerepo=remi-php56phpphp-o
分类:
其他好文 时间:
2019-10-16 23:22:46
阅读次数:
89
什么是CGI?早期的web server只可以处理简单的静态web文件,但是随着技术的发展出现动态语言如PHP,Python。PHP语言交给PHP解析器进行处理,但是处理之后如何和web server进行通信呢?为了解决不同的语言处理器与web server之间的通讯,出现了CGI协议。只要按照CG ...
分类:
Web程序 时间:
2019-10-15 19:02:48
阅读次数:
102
CentOS(Community Enterprise Operating System,中文意思是:社区企业操作系统)是Linux发行版之一。 Nginx ("engine x") 是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器。 PHP-FPM是一个PHPFa ...
分类:
数据库 时间:
2019-10-13 10:57:06
阅读次数:
116
