利用.htaccess文件攻击上传Shell

 

 

 

　　【原理】

　　　　　.htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置。通过htaccess文件，可以实现：网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。  

　　　　　本次需要用到的代码如下：  

　　　　　　<FilesMatch "cimer"> 

　　　　　　SetHandler application/x-httpd-php

　　　　　　</FilesMatch>

　　　　　 1、建立.htaccess文件，新建.txt文件，系统默认使用notpad++打开输入代码如图一所示内容，另存文件类型为【eXtenbsible Markup Language file】，文件名为为【.htaccess】。

　　　　　 2、上传至服务器中。（.htaccess和一句话木马在同一目录下。）

　　　　　 3、通过.htaccess文件，调用php的解析器解析一个文件名只要包含【cimer】这个字符串的任意文件。  这个【cimer】的内容如果是一句话木马，将名字包括后缀名改成cimer，即可利用中国菜刀进行连接。