Basically, the PHP, HTML, and CGI files are prohibited to upload in Zeroboard. But uploading of the other files which can modify the configuration of Apache such as .htaccess is not considered as a serious issue. Therefore, an unknown attacker can execute any malicious codes on the system and acquire system control also.
* The FileType in the .htaccess can be modified by configuring the Override FileInfo or OverrideAll in the httpd.conf of Apache.
* Zeroboeard4.1pl8 or earlier
.htaccess 파일을 만들어 업로드 합니다.
내용은
AddType application/x-httpd-php .php .php3 .php4 .htm .html .txt
그리고
<? phpinfo(); ?> 내용이 들어있는
test.txt 파일을 업로드한후 실행시킵니다.
위 파일이 php로 실행되는것을 볼수 있습니다.
악의적인 내용이 들어있으면 큰일나겠죠?
