這篇文章將為大家詳細(xì)講解有關(guān)如何分析用戶利用.htaccess的原理篡改配置導(dǎo)致的安全問(wèn)題，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

創(chuàng)新互聯(lián)成立與2013年，先為汪清等服務(wù)建站，汪清等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為汪清企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問(wèn)題。

前言

搞過(guò)ctf的師傅們大多都了解到，文件上傳的時(shí)候經(jīng)常使用.htaccess進(jìn)行攻擊；但是只了解那淺層的概念在很多時(shí)候是行不通的，比如下面這個(gè)題；我先把源碼貼出來(lái)；借這個(gè)實(shí)例，深入理解.htaccess；走進(jìn)htaccess世界；

先來(lái)審計(jì)代碼，代碼邏輯不是很難；但是如果對(duì).htaccess理解不夠透徹的話。做出這個(gè)題還是有點(diǎn)難度的；這個(gè)題是一道好題；

.htaccess可以做什么

我們通過(guò).htaccess文件可以做到的有：網(wǎng)頁(yè)301重定向，自定義404錯(cuò)誤頁(yè)面，改變文件拓展名，禁止目錄列表等等；；這里來(lái)拿改變文件拓展名來(lái)說(shuō)一下；一般的新手文件上傳問(wèn)題；可以上傳.htaccess的；我們可以在.htaccess中寫(xiě)入如下的內(nèi)容；

%0aSethandler application/x-httpd-php%0a如此我們上傳一個(gè)名為s1mple的文件；里面寫(xiě)入然后上傳，服務(wù)器就會(huì)將s1mple文件當(dāng)作php來(lái)解析，因?yàn)槲覀兩蟼鞯膕1mple文件和.htaccess文件在同一個(gè)目錄之下，然而.htaccess文件已經(jīng)改變了我們這個(gè)目錄和子目錄的配置；所以我們的s1mple文件可以成功被解析利用；或者寫(xiě)入AddType application/x-httpd-php .jpg;將jpg文件當(dāng)作php來(lái)解析；這很簡(jiǎn)單；不在過(guò)多的贅述；

.htaccess進(jìn)階研究

利用.htaccess構(gòu)成后門(mén)；

1.文件包含；php_value auto_prepend_file +文件絕對(duì)路徑（默認(rèn)是當(dāng)前上傳的目錄）；看代碼故名思意是預(yù)先包含我們的那個(gè)指定的文件；進(jìn)階一下：：如果我們預(yù)先包含了.htaccess文件；那么造成的效果就是我們插入的惡意代碼就會(huì)被任意包含；那么會(huì)有怎樣的效果？我們可以構(gòu)造如下的代碼php_value auto_prepend_file ".htaccess"%0a#直接在我們的.htaccess中寫(xiě)入惡意代碼，直接包含；我們本地測(cè)試一下；拿著上面的那道題來(lái)測(cè)試一下；傳入；?filename=.htaccess&content=php_value%20auto_prepend_fi\%0ale%20".htaccess"%0a%23 \我們看看回顯；當(dāng)我們第一次傳入的時(shí)候，發(fā)現(xiàn)沒(méi)有觸發(fā)phpinfo。那么服務(wù)器做了什么？我們本地打開(kāi)相應(yīng)的文件夾看看；

原來(lái)是第一步生成了.htaccess；還沒(méi)有預(yù)加載，這里我們刷新一下頁(yè)面，成功利用；我們反觀一下.htaccess看看里面生成了什么；

這里我們可以清晰的看到里面的內(nèi)容；試想，我們?nèi)绻鎸?duì)的是上傳的問(wèn)題。并且上傳了這樣的內(nèi)容，那么也就可以不用傳入其他的文件，就可以直接生成后門(mén)（本地測(cè)試過(guò)，成功）；我們利用這個(gè)直接寫(xiě)入一句話木馬,那么可以直接利用；這里直接包含了.htaccess導(dǎo)致了所有文件都包含了木馬；

兩張圖片證明利用成功；dir可以列出很多敏感信息；打碼打碼~~~~；buu的環(huán)境，用這種方法直接打穿；；附圖如下：

2..htaccess造成的xss；

這種情況就比較有意思；我們?cè)谖覀兊?htaccess中加入這樣的代碼；php_value highlight.html '">'然后訪問(wèn)index.php.這里發(fā)現(xiàn)成功彈窗；

這里只能彈一次，因?yàn)槲覀兊膇ndex.php中有一個(gè)unlink函數(shù)，這個(gè)函數(shù)可以刪除我們?cè)撃夸浿碌姆莍ndex.php文件，所以我們的.htaccess也就被刪除了；

下面檢測(cè)很多都可以進(jìn)行xss；

（還有一個(gè)highlight.string 也可以進(jìn)行彈窗，這里隨后才加的，就沒(méi)有復(fù)現(xiàn)；師傅們可以復(fù)現(xiàn)試試；）

經(jīng)過(guò)測(cè)試，如上的都可以進(jìn)行彈窗進(jìn)行xss；

3.htaccess篡改引擎導(dǎo)致源碼泄露；

實(shí)驗(yàn)一下，我刪除這個(gè)題中的高亮顯示的代碼；這樣就不會(huì)顯示源碼，這里我們通過(guò)篡改服務(wù)器解析引擎，來(lái)進(jìn)行顯示源碼，這里其實(shí)我們只需要將解析引擎關(guān)掉就可；在.htaccess中鍵入如下的代碼；

實(shí)驗(yàn)看到這里代碼已經(jīng)顯示出來(lái)了；我們刪除了箭頭指向的地方；那里原本是highlight_file(__FILE__)現(xiàn)在刪除了之后還可以顯示代碼，是因?yàn)槲覀冴P(guān)閉了php的處理引擎，使其不能工作，所以這里就顯示了源碼；這里代碼里還有個(gè)unlink函數(shù)，但是刷新多遍代碼依然沒(méi)有執(zhí)行，是因?yàn)?htaccess依然存在，存在的原因就是我們代碼失去了工作引擎，導(dǎo)致不會(huì)被解析；也就不會(huì)刪除我們的.htaccess代碼；可見(jiàn).htaccess是神兵利器；?。。?/p>

4.htaccess重定義報(bào)錯(cuò)文件和自定義包含路徑；

這種方法也是這道題的另外一種解法，是標(biāo)準(zhǔn)的解法；

先來(lái)探究一下自定義報(bào)錯(cuò)文件的情況，看代碼里面是一定會(huì)有報(bào)錯(cuò)出現(xiàn)的，因?yàn)闆](méi)有fl3g.php的存在；所以我們這里修改.htaccess為php_value error_log G:\phpstudy\tmp\fl3g.php這里刷新頁(yè)面，然后發(fā)現(xiàn)報(bào)錯(cuò)；

我們看看效果；進(jìn)到相關(guān)目錄之下，發(fā)現(xiàn)fl3g.php，打開(kāi)發(fā)現(xiàn)確實(shí)是報(bào)錯(cuò)的內(nèi)容；

我們現(xiàn)在想法基本有了，利用error_log自定義報(bào)錯(cuò)記錄文件，寫(xiě)入shell；那么怎么寫(xiě)入呢？這里我們想到；因?yàn)闆](méi)有fl3g.php文件他會(huì)報(bào)錯(cuò)，這里我們自定義一個(gè)包含的路徑，如果沒(méi)有的話，那么也會(huì)進(jìn)行報(bào)錯(cuò)，那么服務(wù)器也就會(huì)將兩個(gè)信息同時(shí)寫(xiě)入到我們的報(bào)錯(cuò)文件之中；我們實(shí)驗(yàn)一下，發(fā)現(xiàn)確實(shí)是的；這里使用utf7進(jìn)行編碼的原因是我們寫(xiě)入報(bào)錯(cuò)文件的內(nèi)容會(huì)經(jīng)過(guò)html編碼，所以這里用utf7進(jìn)行編碼繞過(guò)去；避免其被編碼；設(shè)置報(bào)告級(jí)別為32767的原因是報(bào)告所有可能出現(xiàn)的錯(cuò)誤，確保我們可以寫(xiě)入木馬；；

現(xiàn)在我們已經(jīng)在服務(wù)器里留下了一句話木馬（如上圖），現(xiàn)在就是要觸發(fā)這個(gè)木馬了。那就開(kāi)始我們的第二步；因?yàn)槲覀冞@里已經(jīng)有了fl3g.php而且不會(huì)被刪除，所以這里我們可以自定義包含路徑為我們fl3g.php的路徑，這里還有個(gè)問(wèn)題，我們的木馬怎么被解析，所以這里我們就要首先檢驗(yàn)文件是否具有unicode的內(nèi)容，然后就是自定義編碼方式了 php_value zend.script_encoding配置服務(wù)器的相關(guān)目錄文件內(nèi)容為utf7編碼，然后包含就會(huì)進(jìn)行相應(yīng)的識(shí)別解碼；最后就執(zhí)行了木馬；

所以整體的流程就是；首先自定義錯(cuò)誤日志進(jìn)行寫(xiě)馬，這里為了全面的寫(xiě)入，采用32767級(jí)別的報(bào)錯(cuò)；然后繞過(guò)<過(guò)濾用utf7進(jìn)行編碼繞過(guò)；避免被html加密；   接著就是包含木馬了，我們自定義包含路徑為相關(guān)的路徑，然后自定義編碼方式為utf7；檢查是否有unicode；這樣就完全的包含了木馬；測(cè)試一下；

成功利用；

關(guān)于如何分析用戶利用.htaccess的原理篡改配置導(dǎo)致的安全問(wèn)題就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。