apache限制用户访问的方法:限制客户端、访问需要用户名密码认证 用户认证的步骤:1.配置服务器上的那些资源被保护、指定用户访问;2.创建密码文件,加入允许访问的用户 1、编辑主配置文件 因为.htaccess文件的生效与否,取决于AllowOverride属性 AllowOverride参数: ...
分类:
Web程序 时间:
2020-08-19 19:15:10
阅读次数:
93
解题思路 打开网页发现只是简单做了一个上传界面,朴实无华 上传一个php文件,发现非法后缀。 上传一个.htaccess文件,发现,爆出很重要的信息 exif_imagetype函数通过检测文件头来检测是否是规定的格式,这里我们只需构造头文件为GIF98a,内容自定的图片马,即可绕过函数限制 上传后 ...
分类:
其他好文 时间:
2020-07-26 15:19:38
阅读次数:
73
看下下面的apache的一个配置,具体代码如下: <Directory /> Order allow,deny #1 Allow from all #2 deny from 192.9.200.69 #3 </Directory> Allow和Deny哟关于apache的conf文件或者htacce ...
分类:
数据库 时间:
2020-07-04 15:18:53
阅读次数:
76
借github上韩国师傅的一个源码实例再次理解.htaccess的功效 今天翻了翻GitHub,很巧发现一个韩国师傅的实例;也是关于.htaccess的,就继续理解了一波;稍微修改了几行代码来理解一下;先来发出源码; 我们简单的审计;很明显,列出了禁止的后缀;但是很明显,这里没有禁用.htacces ...
分类:
数据库 时间:
2020-07-03 23:27:47
阅读次数:
70
最近发现阿里云虚拟主机后台面板给出的301重定向功能,只能设置首页的重定向,而不是实现全站的301重定向。 那么虚拟主机如何实现全站的301重定向呢? 步骤如下: 我们新建一个.htaccess文件,把以下代码复制在.htaccess文件中,上传网站根目录即可 <IfModule mod_rewri ...
分类:
其他好文 时间:
2020-07-03 21:50:57
阅读次数:
97
在.htaccess中修改(如果是框架,则在public下的.htaccess) <IfModule mod_rewrite.c> Options +FollowSymlinks -Multiviews RewriteEngine on RewriteCond %{REQUEST_FILENAME} ...
分类:
Web程序 时间:
2020-06-24 17:47:41
阅读次数:
63
前言 上周末有SUCTF,然而我却在摸鱼基本没看题,赛后看到队里的共享文档中有一道web的writeup,涉及到的知识点在特定的情况下很实用,因此复现一下(周内太忙了,拖到周五所有的) 之前也在ciscn的华东北的线下赛遇到一道.htaccess绕过黑名单上传限制,达到getshell的效果的题目 ...
分类:
Web程序 时间:
2020-06-13 19:11:05
阅读次数:
97
.htaccess 仅能用于apache下,并且内容严格,不能有错误行,如:GIF89a .user.ini php 5.3.0开始引入,可设置除了:PHP_INI_SYSTEM 外的其他,包括(PHP_INI_PERDIR 和 PHP_INI_USER ,PHP_INI_ALL),不用重启服务器, ...
分类:
数据库 时间:
2020-05-29 10:27:31
阅读次数:
87
upload-labs是一个包含了各种上传漏洞的靶场,搭建地址:https://github.com/c0ny1/upload-labs Pass-04 1、查看源码可以看到此处也做了黑名单过滤,过滤的内容还不少 2、此处黑名单没有过滤.htaccess后缀,所以此处可以上传.htaccess文件进 ...
分类:
其他好文 时间:
2020-05-28 21:34:09
阅读次数:
122
.htaccess .htaccess叫分布式配置文件,.htaccess文件的作用在于当浏览器通过uri访问到服务器某个文件夹或文件时,我们可以决定这个uri是否访问uri指定资源或者拒绝访问。 重写配置开启 让服务器加载rewrite.so模块 配置vhost站点时候,将此参数AllowOver ...
分类:
Web程序 时间:
2020-05-21 00:04:55
阅读次数:
78
