CVE-2021-41773 Apache路径穿越漏洞复现

最新推荐文章于 2024-08-06 22:10:52 发布
最新推荐文章于 2024-08-06 22:10:52 发布
阅读量361 收藏
点赞数
分类专栏: # 漏洞复现 文章标签: apache 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490561/article/details/120683183
版权
本文详细介绍了Apache HTTP Server 2.4.49版本的一个高危路径穿越漏洞,允许攻击者读取Web目录外的敏感文件。复现部分包括curl命令和Burp抓包,同时提供了POC链接。建议受影响的用户尽快升级到最新安全版本。
摘要由CSDN通过智能技术生成

目录

1.漏洞概述

2.影响版本

3.漏洞等级

4.漏洞复现

4.1 curl复现

4.2 Burp抓包

4.3 CVE-2021-41773 POC

5.修复建议

1.漏洞概述

       2021年10月8日Apache HTTPd官方发布安全更新,披露了CVE-2021-42013 Apache HTTPd 2.4.49/2.4.50 路径穿越漏洞。Apache HTTP Server 2.4.49版本对路径规范化所做的更改中存在一个路径穿越漏洞,攻击者可利用该漏洞读取到Web目录外的其他文件,如系统配置文件、网站源码等,甚至在特定情况下,攻击者可构造恶意请求执行命令,控制服务器。

                                参考文章:

CVE -CVE-2021-41773

2.影响版本

        仅影响Apache HTTP Server 2.4.49版本

了解本专栏 订阅专栏 解锁全文 超级会员免费看
afei00123
关注
专栏目录
订阅专栏
vulhub-CVE-2021-41773
ce666666的博客
01-05 351
漏洞原理 Apache在2.4.49版本中,引入路径体验,该漏洞仅影响具有“要求全部拒绝”访问权限的 Apache HTTP Server 2.4.49 版控制配置禁用。 漏洞危害 可利用漏洞进行远程RCE,访问web服务器上文档根目录之外的任意文件。泄露CGI。 影响版本 Apache HTTPd 2.4.49/2.4.50版本 环境搭建和测试 切换到vulhub/httpd/CVE-2021-41773,启动环境 docker-compose up -d 浏览器访问ip:8080 使用curl发送p
apache-cve_2021_41773
YouthBelief的博客
11-05 1734
apache-cve_2021_41773 apache-cve_2021_41773 0x01 漏洞描述0x02 影响范围0x03 漏洞手工0x04 漏洞 apache-cve_2021_41773 Apache HTTP Server是一个开源、跨平台的Web服务器,它在全球范围内被广泛使用。 0x01 漏洞描述 2021年10月5日,Apache发布更新公告,修Apache HTTP Server2.4.49中的一个路径遍历和文件泄露漏洞CVE-2021-41773)。
Apache漏洞CVE-2021-41773
最新发布
m0_59151303的博客
08-06 199
漏洞是由于Apache HTTP Server 2.4.49版本存在目录穿越漏洞,在路径穿越目录允许被访问的的情况下(默认开启),攻击者可利用该路径穿越漏洞读取到Web目录之外的其他文件在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执行任意cgi命令(RCE)
CVE-2021-41773 漏洞
爱吃仡坨的Blog
10-13 647
Apache HTTP Server 2.4.49版本使用的ap_normalize_path函数在对路径参数进行规范化时会先进行url解码,然后判断是否存在../的路径穿越符当检测到路径中存在%字符时,如果紧跟的2个字符是十六进制字符,就会进行url解码,将其转换成标准字符,如%2e->.,转换完成后会判断是否存在../。
CVE-2021-41773漏洞
dreamthe的博客
10-18 7974
1.安装debian系统 首先我选择的系统是debian10版本,也可以在别的系统完成,我想一个纯净版,所有重新安装了一个系统,安装步骤简单展示一下。 1.创建虚拟机,点击下一步。 导入镜像 自己选安装的位置以及虚拟机的名称。 安装过程需要设置管理员密码和新建一个用户,自己设置一下就可以了 这里选择了第二个。 因为之前我们选择了lvm,那么这里选择是就可以了 因为我们需要一个简单系统,所有只选择了下面三个安装软件 中间少的部分就是一直点击继续就可..
CVE-2021-41773 && CVE-2021-42013 Apache HTTPd最新RCE漏洞 && 目录穿越漏洞
weixin_45694388的博客
10-16 3455
漏洞描述: Apache HTTPd是Apache基金会开源的一款流行的HTTP服务器。2021年10月8日Apache HTTPd官方发布安全更新,披露了CVE-2021-42013 Apache HTTPd 2.4.49/2.4.50 路径穿越漏洞。由于对CVE-2021-41773 Apache HTTPd 2.4.49 路径穿越漏洞的修不完善,攻击者可构造恶意请求绕过补丁,利用穿越漏洞读取到Web目录之外的其他文件。同时若Apache HTTPd开启了cgi支持,攻击者可构造恶意请求执行命令,控制
CVE-2021-42013-Apache HTTP Server 2.4.50路径穿越流量特征
12306小哥
10-10 1401
0x1 简介 Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。Apache官方在2.4.50版本中对2.4.49版本中出的目录穿越漏洞CVE-2021-41773进行了修,但这个修是不完整的,CVE-2021-42013是对补丁的绕过。 攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令。 这个漏洞可以影响Apache HTTP Server 2.4.
CVE-2021-42013:Apache HTTP Server目录遍历漏洞
weixin_47179815的博客
07-13 2859
漏洞是由于在Apache HTTP Server 2.4.50版本中对CVE-2021-41773修不够完善,攻击者可利用该漏洞绕过修补丁,并利用目录穿越攻击访问服务器中一些文件,进而造成敏感信息泄露。若httpd中开启CGI功能,攻击者可以构造恶意请求,造成远程代码执行。Apache HTTP Server 2.4.50 Apache HTTP Server 2.4.49查询地址:http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202
CVE-2021-42013 Apache路径穿越&命令执行漏洞
afei001
10-10 2406
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞 4.3 CVE-2021-42013 POC 5.修建议 1.漏洞概述 CVE-2021-42013是由于对CVE-2021-41773 Apache HTTPd 2.4.49 路径穿越漏洞的修不完善,攻击者可构造恶意请求绕过补丁,利用穿越漏洞读取到Web目录之外的其他文件。同时若Apache HTTPd开启了cgi支持,攻击者可构造恶意请求执行命令,控制服务器。 2.影响版本 仅影响...
CVE-2021-41773 - (apache 文件读取&命令执行)漏洞
三天不打上房揭瓦的博客
10-08 2939
目录漏洞描述影响版本漏洞漏洞 漏洞描述 CVE-2021-41773 漏洞是在 9 月 15 日发布的 2.4.49 版中对路径规范化所做的更改引入到 Apache HTTP Server 中的。此漏洞仅影响具有“require all denied”访问权限控制配置被禁用的Apache HTTP Server 2.4.49 版本。成功的利用将使远程攻击者能够访问易受攻击的 Web 服务器上文档根目录之外的任意文件。根据该公告,该漏洞还可能泄露“CGI 脚本等解释文件的来源”,其中可能包含攻击者可以
Apache HTTP Server 路径穿越漏洞(CVE-2021-41773 )
qq_59975439的博客
06-10 6361
Apache HTTP Server 路径穿越漏洞(CVE-2021-41773 )
CVE-2021-41773(42013) Apache HTTP Server路径穿越漏洞
weixin_45260839的博客
06-03 5701
CVE-2021-41773(42013) Apache HTTP Server路径穿越漏洞
Apache漏洞原理与
LJH1999ZN的博客
03-30 3853
一、Apache简介 Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展,将Perl/Python等解释器编译到服务器中。 二、Apache的历史漏洞 Apache路径穿越漏洞CVE-2021-41773) Apache 路径穿越漏洞CVE-2021-42013) Apache SSRF漏洞CVE-
Apache CVE-2021-41773漏洞
3tefanie丶zhou的博客
10-11 2596
漏洞简介 Apache HTTPd是Apache基金会开源的一款流行的HTTP服务器。2021年10月8日Apache HTTPd官方发布安全更新,披露了CVE-2021-42013 Apache HTTPd 2.4.49/2.4.50 路径穿越漏洞。由于对CVE-2021-41773 Apache HTTPd 2.4.49 路径穿越漏洞的修不完善,攻击者可构造恶意请求绕过补丁,利用穿越漏洞读取到Web目录之外的其他文件。同时若Apache HTTPd开启了cgi支持,攻击者可构造恶意请求执行命令,控制服
目录穿越漏洞(CVE-2021-41773)
qq_43757105的博客
10-12 2352
目录 漏洞描述 漏洞具体步骤: 用burp: Get: Post: 漏洞描述 目录穿越比目录浏览、目录遍历更具破坏性,目录穿越不仅可以读取服务器中任何目录及任何文件的内容,还可以执行系统命令。 漏洞等级:高危 影响版本: Apache httpd 2.4.49-2.4.51 准备阶段: 环境:win7虚拟机(装有BP) kali(装有最新的docker vulhub) 漏洞具体步骤: 1.进入Vulhub目录中启动存在漏洞Apache 服务器 /home/..
CVE-2021-41773&&CVE-2021-42013
weixin_42345596的博客
10-09 4874
CVE-2021-41773 漏洞原理 Apache HTTP Server 是 Apache 基础开放的流行的 HTTP 服务器。在其 2.4.49 版本中,引入了一个路径体验,满足下面两个条件的 Apache 服务器将受到影响: 版本等于2.4.49 <Directory />Require all granted</Directory>(默认情况下是允许被访问的)。 攻击者利用这个漏洞,可以读取到Apache服务器Web目录以外的其他文件,或者读取Web中的脚本源码,或者在
cve-2021-41773漏洞
06-28
cve-2021-41773漏洞Apache HTTP Server中的一个安全漏洞,攻击者可以利用该漏洞在未经授权的情况下访问服务器上的文件。 要漏洞,可以按照以下步骤进行: 1. 安装Apache HTTP Server,并确保其版本为2.4....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

afei00123

您的支持是我创作最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值