环境:kali内置apache2
复现:
默认配置下,将文件加入到apache项目路径下
/var/www
此时apache2.conf默认配置如下:
<Directory /var/www/> Options Indexes FollowSymLinks AllowOverride None Require all granted </Directory>
访问kali存放文件的路径,发现漏洞:
修复:
修改apache2.conf,禁止目录遍历:
<Directory /var/www/> Options -Indexes FollowSymLinks AllowOverride None Require all granted </Directory>
重启apache2,并重新访问,发现不可再访问文件列表:
参考:
https://www.cnblogs.com/wlfsky/p/10570078.html
https://www.fujieace.com/penetration-test/directory-traversal-2.html
总结:
1、phpstudy修改apache对应的httpd.conf中options参数修改无效,推测是phpstudy对web系统做了安全加固。
2、本案例apache2.conf对应apache中的httpd.conf配置文件
原文:https://www.cnblogs.com/smartmsl/p/12217584.html