Apache HTTPD是一款HTTP服务器，它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在 一个解析漏洞，在解析PHP时，1.php\x0a将被按照PHP后缀进行解析，导致绕过一些服务器的安全策略。

影响范围

apache ：2.4.0~2.4.29版本

靶场搭建

cd vulhub/httpd/CVE-2017-15715

docker-compose up -d

漏洞复现

访问

http://192.168.0.125:8080/

上传文件并抓包，并发送到repeater

给文件名加个点（.）

 十六进制0a 在ascii中是lf。 lf读作“eleff”,意为“换行符”,

发送以后，去访问

修复建议：

       1.升级到高版本

        2.将上传的文件重命名为时间戳+随机数+.jpg格式并禁用上传文件目录执行脚本权限