本文介绍了如何使用Vulhub搭建Nginx文件解析漏洞环境,通过编辑图片并上传,然后测试PHP代码执行,展示了漏洞利用过程。适合安全研究和学习。
一、Vulhub下载地址
git clone https://github.com/vulhub/vulhub.git
二、找到Nginx文件解析漏洞的环境
三、打开终端,启动该漏洞环境
sudo docker-compose up -d
四、访问该漏洞环境
192.168.139.128
五、找张图片用记事本打开,在最后加上一段php代码
六、上传提交该图片
七、测试漏洞
1、访问原图片
http://192.168.139.128/uploadfiles/8a5f006ffd4ce801c8e888ec3bc68361.png
2、将该图片解析成PHP文件,在后面加一个.php,成功访问到phpinfo
http://192.168.139.128/uploadfiles/8a5f006ffd4ce801c8e888ec3bc68361.png/.php
禁止非法,后果自负
欢迎关注公众号:web安全工具库
欢迎关注视频号:之乎者也吧
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
