深究.htaccess的原理,和用户利用其恶意篡改服务器配值导致的深层安全问题 前言 搞过ctf的师傅们大多都了解到,文件上传的时候经常使用.htaccess进行攻击;但是只了解那浅层的概念在很多时候是行不通的,比如下面这个题;我先把源码贴出来; (在写之前,首先膜我怀哥一波;~.~) 【离怀秋】 ...
分类:
数据库 时间:
2020-05-19 22:22:05
阅读次数:
86
AllowOverride DirectiveDescription: Types of directives that are allowed in .htaccess files When the server finds an .htaccess file (as specified by A ...
分类:
Web程序 时间:
2020-05-12 12:01:16
阅读次数:
74
织梦dedecms虽然可以生成静态页面, 也可以重写成为伪静态. 在后台有设置可以开启伪静态. 开启后还要经过一定的设置才能使用. 我总结为三步: 第一步. 首先栏目和文章最好设置成动态浏览. 这样才不会生成静态html文件. 第二步. 设置重写规则. 在系统目录下加一个 .htaccess文件. ...
分类:
其他好文 时间:
2020-05-08 18:29:27
阅读次数:
74
人在天台,感觉良好 check in 考点:配置文件上传 相比之下最友好的一题了emmm 主要还是过滤了ph和 ,然后是黑名单 考虑上传htaccess,由于不能有ph,故用换行拼接: ~~一开始多加了个空格导致没正确解析~~ 然后图片马用短标签来绕过: php 0){ die($_FILES["f ...
分类:
Web程序 时间:
2020-05-05 09:11:18
阅读次数:
122
先用命令找到httpd.conf文件在哪 默认配置文件: vim /etc/httpd/conf/httpd.conf 然后找到项目的路径 把里面的AllowOverride None改成AllowOverride All 最后在项目路径里面添加一个.htaccess文件,内容如下 最后再添加一个4 ...
分类:
Web程序 时间:
2020-04-14 16:39:00
阅读次数:
73
你传你🐎呢 典型的文件上传,没想到这么直接,修改Content-type,上传了.php .phtml都被检测到,于是就上传了一个.htaccess文件,没想到直接上传成功 然后在上传一句话木马,后缀名修改成jpg绕过 然后菜刀直连,获得flag ...
分类:
其他好文 时间:
2020-04-07 22:35:43
阅读次数:
229
1、复制public下的index.php与.htaccess文件至根目录; 2、直接修改index.php,将内容修改为:<?php require 'public/index.php'; ?> 3、访问(你的域名)yourdomain即可成功; ...
分类:
Web程序 时间:
2020-04-04 20:27:06
阅读次数:
274
我们都知道discuz是采用PHP语言开发的,动态地址不利于蜘蛛抓取,开启伪静态有利于SEO优化。网上很多教程采用.htaccess但是是不行的,需要配置.conf文件。 请查看操作步骤: 1.登录我们网站后台,在全局>SEO优化设置>将要设置的页面勾选上,门户专题、门户文章、论坛列表、论坛内容页面 ...
分类:
Web程序 时间:
2020-03-26 01:04:04
阅读次数:
156
首先介绍一下.htaccess(来自百度百科) 根据以上内容,假如我们自定义一个规则,并让服务器运行我们定义的规则,便可绕过上传限制 查询到有两种方法可用,开始实验 打开靶机 查看页面信息 上传.htaccess文件 上传成功后开始上传shell.jpg 测试连接 查找flag 成功拿到flag ...
分类:
数据库 时间:
2020-03-20 12:57:47
阅读次数:
212
TP项目部署到Linux服务器,今天又碰到了HTTP 500 Internal server error 又是改runtime 777权限 发现并不好使。 于是又找啊找啊, 发现.htaccess 文件又被我忽略了, 果然打开, location / { if (!-e $request_filen... ...
分类:
其他好文 时间:
2020-03-14 21:37:12
阅读次数:
58
