一、apache_parsing

在Apache1.x/2.x中Apache 解析文件的规则是从右到左开始判断解析，如果后缀名为不可识别文件解析，就再往左判断。如1.php.xxxxx

1、进入Vulhub靶场并执行以下命令启动靶场

2、只要一个文件含有.php后缀的文件即将被识别成PHP文件，利用这个制作一句话木马

3、上传木马并访问

4、用中国菜刀连接木马

二、CVE-2017-15715

Apache HTTPD是一款HTTP服务器，它可以通过mod_php来运行PHP网页。其2.4.0-2.4.29版本中存在一个解析漏洞，在解析PHP时，1.php\x0A将被按照PHP后缀进行解析，导致绕过一些服务器的安全策略。

1、进入Vulhub靶场并开启目标靶机，进行访问

2、准备并上传一句话木马

3、使用burpsuite抓包，在evil.php文件后面添加”空格“，再将0x20改为0x0a放包即可上传成功

4、在IP的后面加上%a0访问，页面不报错，木马上传成功

5、使用中国菜刀连接木马