1.安装debian系统
首先我选择的系统是debian10版本,也可以在别的系统完成复现,我想一个纯净版,所有重新安装了一个系统,安装步骤简单展示一下。
1.创建虚拟机,点击下一步。
导入镜像
自己选安装的位置以及虚拟机的名称。
安装过程需要设置管理员密码和新建一个用户,自己设置一下就可以了
这里选择了第二个。
因为之前我们选择了lvm,那么这里选择是就可以了
因为我们需要一个简单系统,所有只选择了下面三个安装软件
中间少的部分就是一直点击继续就可以了,最后安装好了。
2.下载靶场,首先找到虚拟终端,打开终端。
2.下载靶场、docker以及docker-compose
首先需要安装git命令,这样我们利用git命令下载靶场
下载好git,输入命令下载靶场,靶场地址https://github.com/vulhub/vulhub 如果和下面一样出现错误,就将命令https换成git就可以啦。
下载完成以后,可以自己查看一下。
接下来安装docker和docker-compose
下载完成以后可以进入CVE-2021-41773查看readme.zh-cn.md 查看中午,里面会有该漏洞的提示和一些playload.
3.漏洞复现
现在我们输入命令开始启动环境。
环境启动以后,我们按照提示访问自己的IP地址8080端口,这个时候我们需要查看自己的ip地址,会发现ifconfig不行,需要输入apt install net-tools 安装工具,这样就可以使用ifconfig
得到ip地址可以在本机浏览器访问http://ip:8080,看到it's work,就代表可以了
现在我们就可以构造playload ,记得回到根目录执行代码
可以看到成功读取了passwd文件内容。也可以读取adduser.conf,其他文件需要自己试试了。
在服务端开启了cgi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执行任意命令:
```
curl -v --data "echo;id" 'http://your-ip:8080/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh'
```
4.漏洞的条件
穿越的目录允许被访问,比如配置了`<Directory />Require all granted</Directory>`。(默认情况下是不允许的)
后面我有写检测该漏洞的检测脚本,感兴趣可以去看看
CVE-2021-41773、CVE-2021-42013检测脚本_dreamthe的博客-CSDN博客
5.漏洞产生的原理
Apache HTTP Server 2.4.49版本使用的ap_normalize_path函数在对路径参数进行规范化时会先进行url解码,然后判断是否存在../的路径穿越符
当检测到路径中存在%字符时,如果紧跟的2个字符是十六进制字符,就会进行url解码,将其转换成标准字符,如%2e通过url解码之后是一个点(.)对于路径的url解码之后再来判断是否存在../。
如果路径中存在%2e./形式,就会检测到,因为遍历第一个字符是%紧跟2个字符是十六进制那么会被转换成点,这样会和后面的./就会连成../,这样就会被拦截。但是出现.%2e/这种形式时,在遍历到第一个.字符时,此时检测到后面的两个字符是%2,那么就构造不成../而是.%2,就不会把它当作路径穿越符处理,也就是说在检测是否有路径穿越符之后,%2e再解码变成了点,最终.%2e/解码成了../。因此可以使用.%2e/或者%2e%2e绕过对路径穿越符的检测。
参考文章:【安全漏洞】CVE-2021-41773和CVE-2021-42013漏洞分析 - 简书(里面有详细过程,大家可以参考)
6.修复建议
增加ap_normalize_path函数的判断条件,对于.%2e或者%2e%2e进行判断,避免绕过
下一篇:CSRF漏洞原理与防御方式_dreamthe的博客-CSDN博客
扫一扫
362
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
