p神之webshell禁止执行

p神之webshell禁止执行

参考链接:https://www.leavesongs.com/PENETRATION/refuseshell.html

总结:

1.从源头可以通过限制上传类型来禁止黑客上传木马获取webshell,常见的前端和后台限制。也可以在结果发生后,不允许webshell执行

2.两种方法.htaccess和apache配置文件中修改来禁止webshell的执行

3.htaccess方法

3.1 访问http://127.0.0.1/pshen/yjh.php可以执行

3.2 在当前目录下新建.htaccess,内容为

<Files ~ ".php">

Order allow,deny

Deny from all

</Files>

3.3 再次访问报403错误

3.4 绕过,上传一个新的.htaccess(空白就可以)将旧的覆盖掉,设想头像上传时,上传的文件名一致,一般程序都是删除旧的,增加新的。

3.5 再次访问,成功

4.修改apache配置文件

4.1 apache配置文件的路径 

从phpstudy中找:httpd.conf

从电脑文件:D:\phpStudy\Apache\conf\httpd.conf

4.2 修改方法,注释掉之前的配置,添加以下代码,保存,重启服务

<Directory "/var/www/upload">

<FilesMatch ".php">

Order Allow,Deny

Deny from all

</FilesMatch>

</Directory>

4.3 结果,报403错误

4.4 绕过,在windows系统没问题,在linux系统中可以绕过

4.5 linux绕过,linux系统搭建的网站是区分大小的,所以只要上传的.php改成.Php可绕过

相关推荐