Web安全与防护 实训指南 5.2.5 .htaccess文件攻击.pdf

.htaccess文件攻击

【实训目的】

1.认识到.htaccess的作用及由此带来的风险。

2.掌握利用.htaccess的技巧绕过文件上传的防御机制。

【实训原理】

1..htaccess文件全称是HypertextAccess(超文本入口)，是Apache服务器的

分布式配置文件，该文件会覆盖Apache服务器的全局配置，作用域是当前目录

及其子目录。启用.htaccess，需要修改httpd.conf，启用AllowOverride，并可以用

AllowOverride限制特定命令的使用。通常，.htaccess文件使用的配置语法和主配

置文件一样。利用当前目录的.htaccess文件可以允许管理员灵活的随时按需改变

目录访问策略。但是.htaccess文件会影响系统性能，且降低安全性，因此，一般

情况下不应该使用.htaccess文件。

2.如果一个Web应用允许上传.htaccess文件，那就意味着攻击者可以更改

Apache的配置，非常危险，很多防止文件上传的过滤机制将失效。

【实训步骤】

步骤1、配置Apache的httpd.conf配置文件，允许.htaccess覆盖生效。在

Directory/xampp/htdocs选项下，将AllowOverride项设置为All，如下图所

示：

图5-15配置httpd.conf使.htaccess覆盖生效

在该目录及其子目录下的.htaccess文件就会起作用。

步骤2、编辑待上传文件httest.php，其内容为?phpphpinfo()?。然后将文

件名字修改为修改成为httest.php.jpg。

步骤3、将图片文件当作PHP文件解析。

（1）在XAMPP\htdocs\DVWA\hackable\uploads的目录下建立.htaccess文件，

在其中增加“AddTypeapplication/x-httpd-php.jpg”内容。

（2）将httest.php.jpg文件上传。

（3）通过浏览器访问刚上传的httest.php.jpg文件，后缀是jpg的图片文件

已经被当作php文件解析了，如下图所示：

图5-16将图片文件当作php文件解析结果

步骤4、文件名中包含php关键字都将当作php文件解析。

（1）将.htaccess文件“AddTypeapplication/x-httpd-php.jpg”内容添加#注释。

再通过浏览器访问的httest.php.jpg文件将不能访问。

（2）在.htaccess文件添加AddHandlerphp5-scriptphp，其作用是凡是当文件

名中包含关键字.php.时，就会执行含有php关键字的文件。

（3）再通过浏览器访问的httest.php.jpg能正常访问。

步骤5、匹配文件名。

（1）在.htaccess文件添加如下内容：

FilesMatchhello

SetHandlerapplication/x-httpd-php

/FilesMatch

其作用是凡是只要文件名中包含hello，就会把该文件当作php执行该文件。

（3）将文件httest.php.jpg的名字修改为httest.hellophp.jpg再通过浏览器访

问的httest.hellophp.jpg能正常访问，如下图所示：

图5-17将内含php关键字文件当作php文件解析结果

【实训总结】

.htaccess的虽然带来权限控制的灵活性，但带来的风险很大，通过其可对图

片文件、带有.php.的文件，或者带有规定的任意字符串的文件当作php文件进行

解析，因此尽量不要用起用该文件。