Apache 是从右到左开始判断解析,如果为不可识别解析,就再往左判断.
比如 xx.php.owf.rar “.owf”和”.rar” 这两种后缀是apache不可识别解析,apache就会把xx.php.owf.rar解析成php.
如何判断是不是合法的后缀就是这个漏洞的利用关键,测试时可以尝试上传一个wooyun.php.rara.jpg.png…(把你知道的常见后缀都写上…)去测试是否是合法后缀
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
聚合网络安全,存储安全技术文章,融合安全最新讯息
评论