Eu tenho um droplet DigitalOcean em que estou tentando criar um laboratório intencionalmente vulnerável para o programa de segurança de informações da minha escola. O problema é que o Apache está bloqueando todos os tipos de solicitações maliciosas, como scripts entre sites, inclusão de arquivos, injeção de SQL, coisas assim, e eu preciso saber como desabilitar isso. Aqui está um exemplo de pedido:
GET /mutillidae/index.php?page=../../../../../etc/passwd%00 HTTP/1.1
Host: ksu-labs.com
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.71 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate, sdch
Accept-Language: en-US,en;q=0.8
Cookie: showhints=1; username=admin; uid=1; PHPSESSID=27dps71931p1dt19vkdl0thu05
Connection: close
O que está acontecendo é que o servidor está redefinindo a conexão após a recepção da solicitação e não estou obtendo resposta. Espero que vocês possam ajudar. Agradecemos antecipadamente.
~ Austin
Encontrei o problema, não relacionado ao apache ou ao ubuntu, parece que o firewall da faculdade tem algum tipo de terrível IPS / IDS que está bloqueando tentativas de ataque, facilmente burladas, mas nada relacionado a SO ou software, obrigado pessoal.