前言搞过ctf的师傅们大多都了解到,文件上传的时候经常使用.htaccess进行攻击;但是只了解那浅层的概念在很多时候是行不通的,比如下面这个题;我先把源码贴出来;借这个实例,深入理解.htaccess;走进htaccess世界;先来审计代码,代码逻辑不是很难;但是如果对.htaccess理解不够透彻的话。做出这个题还是有点难度的;这个题是一道好题;服务器首先对目录进行遍历,然后扫描目录下的文件,如果不是index.php的话就删除掉;然后包含了一下fl3g.php;接下来就是我们传入的文件内容和文件的名字了,后面对文件的内容和名字都做了过滤;最后在我们写的文件内容之后换行并且加入了无关的字符;探究●什么是.htaccess.htaccess文件(或者分布式配置文件),全称是HypertextAccess(超文本入口)。提供了针对目录改变配置的方法,即,在一个特定的文档目录中放置一个包含一个或多个指令的文件,以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。这里简明扼要的说一下,.htaccess说白了就是apache服务器中的一个配置文件;只不过它负责的是相关目录之下的网页配置;.htaccess可以做什么我们通过.htaccess文件可以做到的有:网页重定向,自定义错误页面,改变文件拓展名,禁止目录列表等等;;这里来拿改变文件拓展名来说一下;一般的新手文件上传问题;可以上传.htaccess的;我们可以在.htaccess中写入如下的内容;FilesMatchs1mple%0aSethandlerapplication/x-
转载请注明:http://www.aierlanlan.com/cyrz/8579.html
