1方案 安装部署Nginx、MariaDB、PHP环境 安装部署Nginx、MariaDB、PHP、PHP-FPM; 启动Nginx、MariaDB、FPM服务; LNMP(Linux、Nginx、MySQL、PHP) 在RHEL7系统中,源码安装Nginx,使用RPM包安装MariaDB、PHP、 ...
分类:
其他好文 时间:
2019-11-01 13:05:32
阅读次数:
83
1、问题描述:项目中开发很多对外接口,于是在本项目中写了测试脚本来验证接口。然鹅,发现Curl请求出现卡死情况,没有响应。 2、具体原因:在window环境下配置的nginx+php环境时,windows下,是没有php-fpm的,有的是 php-cgi.exe;也就是,当本地配置了多个域名,并且同 ...
1安装依赖包yum -y install gcc gcc-c++ autoconf automake yum -y install zlib zlib-devel openssl openssl-devel pcre pcre-devel 2安装Gityum install git 3 安装clon ...
分类:
系统相关 时间:
2019-10-27 20:59:38
阅读次数:
94
!!!php需要用fastcgi/cgi 创建文件 .user.ini 文件中写auto_prepend_file=1.jpg 其中1.jpg为要包含的文件 此时访问任意php文件均会包含1.jpg文件中的内容 https://wooyun.js.org/drops/user.ini%E6%96%8 ...
分类:
Web程序 时间:
2019-10-26 17:01:04
阅读次数:
110
最早的Web服务器,可以简单地响应浏览器发来的HTTP请求,并将存储在服务器上的HTML文件返回给浏览器,也就是静态html。 随着时间的变化,网站也越来越复杂,所以出现动态技术。但是服务器并不能直接运行 php,asp这样的文件,自己不能做,外包给别人吧,但是要与第三做个约定,我给你什么,然后你给 ...
分类:
Web程序 时间:
2019-10-26 10:22:07
阅读次数:
95
漏洞描述 此次漏洞主要由于 PHP FPM 中 文件内的 下溢导致,攻击者可以使用换行符 破坏 Nginx 中 对应的正则表达式,导致传递给 PHP FPM 的 PATH_INFO 值为空,从而触发该漏洞,通过发送特制的URL请求,在一些特殊的配置情况下会导致任意代码执行。 <! more 影响范围 ...
分类:
Web程序 时间:
2019-10-24 21:37:34
阅读次数:
104
0x00 简介 在长亭科技举办的 Real World CTF 中,国外安全研究员 Andrew Danau 在解决一道 CTF 题目时发现,向目标服务器 URL 发送 %0a 符号时,服务返回异常,疑似存在漏洞。 在使用一些有错误的Nginx配置的情况下,通过恶意构造的数据包,即可让PHP FPM ...
分类:
Web程序 时间:
2019-10-24 15:50:38
阅读次数:
122
[root@web1 ~]# vim /etc/php-fpm.d/www.conf //修改该配置文件的两个参数 //文件的最后2行 修改前效果如下: php_value[session.save_handler] = files php_value[session.save_path] = /v ...
分类:
其他好文 时间:
2019-10-24 11:57:03
阅读次数:
64
漏洞详情: Nginx上fastcgi_split_path_info在处理带有 %0a 的请求时,会因为遇到换行符 \n 导致PATH_INFO为空。而php-fpm在处理PATH_INFO为空的情况下,存在逻辑缺陷,可以远程代码执行。 影响范围: Nginx+php-fpm的服务器,在使用如下配 ...
分类:
Web程序 时间:
2019-10-24 11:52:17
阅读次数:
99