目录遍历(复现及修复)

环境:kali内置apache2

复现:

默认配置下,将文件加入到apache项目路径下

/var/www

此时apache2.conf默认配置如下:

<Directory /var/www/>
    Options Indexes FollowSymLinks
    AllowOverride None
    Require all granted
</Directory>

访问kali存放文件的路径,发现漏洞:

修复:

修改apache2.conf,禁止目录遍历:

<Directory /var/www/>
    Options -Indexes FollowSymLinks
    AllowOverride None
    Require all granted
</Directory>

重启apache2,并重新访问,发现不可再访问文件列表:

参考:

https://www.cnblogs.com/wlfsky/p/10570078.html

https://www.fujieace.com/penetration-test/directory-traversal-2.html

总结

1、phpstudy修改apache对应的httpd.conf中options参数修改无效,推测是phpstudy对web系统做了安全加固。

2、本案例apache2.conf对应apache中的httpd.conf配置文件

posted @ 2020-01-20 13:29  马帅领  阅读(3467)  评论(0编辑  收藏  举报