p神之webshell禁止執行
參考鏈接:https://www.leavesongs.com/PENETRATION/refuseshell.html
總結:
1.從源頭可以通過限制上傳類型來禁止黑客上傳木馬獲取webshell,常見的前端和后台限制。也可以在結果發生后,不允許webshell執行
2.兩種方法.htaccess和apache配置文件中修改來禁止webshell的執行
3.htaccess方法
3.1 訪問http://127.0.0.1/pshen/yjh.php可以執行
3.2 在當前目錄下新建.htaccess,內容為
<Files ~ ".php">
Order allow,deny
Deny from all
</Files>
3.3 再次訪問報403錯誤
3.4 繞過,上傳一個新的.htaccess(空白就可以)將舊的覆蓋掉,設想頭像上傳時,上傳的文件名一致,一般程序都是刪除舊的,增加新的。
3.5 再次訪問,成功
4.修改apache配置文件
4.1 apache配置文件的路徑
從phpstudy中找:httpd.conf
從電腦文件:D:\phpStudy\Apache\conf\httpd.conf
4.2 修改方法,注釋掉之前的配置,添加以下代碼,保存,重啟服務
<Directory "/var/www/upload">
<FilesMatch ".php">
Order Allow,Deny
Deny from all
</FilesMatch>
</Directory>
4.3 結果,報403錯誤
4.4 繞過,在windows系統沒問題,在linux系統中可以繞過
4.5 linux繞過,linux系統搭建的網站是區分大小的,所以只要上傳的.php改成.Php可繞過