Apache HTTP Server 2.4.50 中的路径遍历和文件泄露漏洞 (CVE-2021-42013)实验报告

最新推荐文章于 2024-08-03 17:22:50 发布

shidfe

最新推荐文章于 2024-08-03 17:22:50 发布

阅读量4.2k

点赞数 1

分类专栏：笔记文章标签： apache http 安全

本文链接：https://blog.csdn.net/weixin_48400575/article/details/123017580

版权

本文详细介绍了Apache HTTP Server 2.4.50中的路径遍历和文件泄露漏洞(CVE-2021-42013)，该漏洞源于CVE-2021-41773修复的不完整，攻击者可通过URL编码绕过补丁。文章涵盖了漏洞原理、影响版本、利用限制及复现过程，并提供了相关资源链接和作者的个人见解。

摘要由CSDN通过智能技术生成

视频演示

Apache HTTP Server 2.4.50 中的路径遍历和文件泄露漏洞 (CVE-2021-42013)实验演示_哔哩哔哩_bilibiliBGM：《芳华慢》+《霜雪千年》（by等什么君）https://www.bilibili.com/video/BV1Va411C7gW?spm_id_from=333.999.0.0

参考文章

Vulhub - Docker-Compose file for vulnerability environment

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

shidfe

关注关注

1
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

【漏洞复现】Apache HTTP Server 2.4.49、2.4.50 RCE（CVE-2021-41773）

飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘

10-22

895

Apache HTTP Server是一个开源、跨平台的Web服务器，它在全球范围内被广泛使用。2021年10月5日，Apache发布更新公告，修复了Apache HTTP Server2.4.49中的一个路径遍历和文件泄露漏洞（CVE-2021-41773）。攻击者可以通过路径遍历攻击将 URL 映射到预期文档根目录之外的文件，如果文档根目录之外的文件不受“requireall denied”访问控制参数的保护（默认禁用），则这些恶意请求就会成功。

Apache HTTP Server 2.4.49 中的路径遍历和文件泄露漏洞 (CVE-2021-41773)复现实验报告

weixin_48400575的博客

02-13

3976

Apache HTTP Server 2.4.49 中的路径遍历和文件泄露漏洞 (CVE-2021-41773)复现实验报告

参与评论您还未登录，请先登录后发表或查看评论

Apache HTTP Server 2.4.50 路径穿越漏洞（CVE-2021-42013）

weixin_47311099的博客

12-07

2381

Apache HTTP Server 2.4.50 路径穿越漏洞（CVE-2021-42013） Apache官方在2.4.50版本中对2.4.49版本中出现的目录穿越漏洞CVE-2021-41773进行了修复，但这个修复是不完整的，CVE-2021-42013是对补丁的绕过。攻击者利用这个漏洞，可以读取位于Apache服务器Web目录以外的其他文件，或者读取Web目录中的脚本文件源码，或者在开启了cgi或cgid的服务器上执行任意命令。这个漏洞可以影响Apache HTTP Server 2.4.49

[tryhackme] Steel Mountain

最新发布

2301_77295404的博客

08-03

673

先用nmap扫描端口：它在8080端口运行着HttpFileServer。

CVE-2021-42013 Apache HTTP Server 路径穿越漏洞

蚁景网安学院

03-03

2721

前言CVE-2021-42013为目录穿越文件读取漏洞，影响 httpd 2.4.49，CVE编号为CVE-2021-41773， https 2.4.50不完全修复可绕过，如果开启 mo...

Apache HTTP Server 2.4.50 中的路径遍历和文件泄露漏洞 (CVE-2021-42013)

zzzzz1284的博客

01-16

241

CVE-2021-42013

渗透实战-HttpFileServer漏洞利用

网络安全领域优质创作者

11-05

1821

nmap-T4 -A -sS-sV-vv--script vuln -p- --open -n -Pn10.11.1.49-oX10.11.1.49.xml xsltproc-o10.11.1.49.html10.11.1.49.xml 9505端口运行HttpFileServer服务，搜索HFS得到39161.py修改里面的端口和放置nc.exe 得到shell $secpasswd=ConvertTo-SecureString"aliceishere" -As...

golang http.FileServer 遇到的坑

小码农的博客

03-04

6075

上次写了一个2行实现一个静态服务器的文章今天群里有个哥们是这么写居然返回的是404 见鬼了嘛？？ http.handle("/js", http.FileServer(http.Dir("js")) http.ListenAndServe("8080", nil) 大概的意思就是绑定路由为 js 的时候访问这个js 文件夹看了一下确实代码上面没什么毛病。但是路径怎么修

CVE-2021-42013-Apache HTTP Server 2.4.50路径穿越流量特征

12306小哥

10-10

1409

0x1 简介 Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。Apache官方在2.4.50版本中对2.4.49版本中出现的目录穿越漏洞CVE-2021-41773进行了修复，但这个修复是不完整的，CVE-2021-42013是对补丁的绕过。攻击者利用这个漏洞，可以读取位于Apache服务器Web目录以外的其他文件，或者读取Web目录中的脚本文件源码，或者在开启了cgi或cgid的服务器上执行任意命令。这个漏洞可以影响Apache HTTP Server 2.4.

CVE-2021-42013：Apache HTTP Server目录遍历漏洞

weixin_47179815的博客

07-13

2880

该漏洞是由于在Apache HTTP Server 2.4.50版本中对CVE-2021-41773修复不够完善，攻击者可利用该漏洞绕过修复补丁，并利用目录穿越攻击访问服务器中一些文件，进而造成敏感信息泄露。若httpd中开启CGI功能，攻击者可以构造恶意请求，造成远程代码执行。Apache HTTP Server 2.4.50 Apache HTTP Server 2.4.49查询地址：http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202

httpFileServer

04-10

将自己的电脑编程http服务器，共享文件。

【Apache Tomcat信息泄露漏洞】

m0_46459413的博客

11-02

4233

9月28日，Apache发布安全公告，公开披露了Tomcat中的一个信息泄露漏洞（CVE-2021-43980）。由于某些Tomcat版本中的阻塞式读写的简化实现导致存在并发错误（极难触发），可能使客户端连接共享一个Http11Processor实例，导致响应或部分响应被错误的客户端接收，造成信息泄露。Apache Tomcat 版本 >= 10.1.0-M14。Apache Tomcat 版本 >= 10.0.20。Apache Tomcat 版本 >= 8.5.78。

CVE-2021-42013 路径穿越漏洞复现并反弹shell

m0_53073183的博客

02-01

1460

CVE-2021-42013 路径穿越漏洞复现并反弹shell

HTTPfileserver rce复现（HFS）

whojoe的博客

07-02

1955

HTTPfileserver rce复现（HFS）环境搭建漏洞复现同一网络环境内网msf小结环境搭建 hfs在比较早的版本存在命令执行漏洞，2.3c及以前的2.3x版本下载链接 http://d3.meisq.net:806/1206/hfshttp.zip 打开之后设置默认运行这里 kaliip192.168.164.129 HFSip192.168.164.128 漏洞复现同一网络环境 kali配置 msfconsole search hfs use exploit/windows/http

利用Metasploit对HFS 2.3渗透攻击提权

渗透测试

05-07

1956

文章目录前言一、Metasploit中使用数据库二、VSFTPD2.3.4渗透攻击1.威胁建模2.攻击3.渗透持久化4.清楚渗透痕迹总结前言针对HFS 2.3漏洞进行渗透测试提权（HFS：HttpFileServer）一、Metasploit中使用数据库开启步骤 root@kali:~# service postgresql start root@kali:~# msfdb init msfdb ini 初始化数据库使用msfconsole启动metasploit 输入db_statu

渗透之——Metasploit攻击HFS 2.3上的漏洞

冰河的专栏

01-12

6379

转载请注明出处：https://blog.csdn.net/l1028386804/article/details/86358284 攻击机： kali 192.168.109.137 靶机： windows server 2012 192.168.109.141 工具：Metasploit 根据CVE-2014-6287的描述，Rejetto网络文件服务器(也被称为HSF或者HttpFi...

CVE-2021-42013 Apache HTTP Server 路径穿越漏洞——漏洞复现

qq_60905276的博客

06-07

4909

Apache 披露了一个在 Apache HTTP Server 2.4.49 上引入的漏洞，称为 CVE-2021-41773。

CVE-2021-41773(42013) Apache HTTP Server路径穿越漏洞复现

weixin_45260839的博客

06-03

5719

CVE-2021-41773(42013) Apache HTTP Server路径穿越漏洞复现

F5 BIG-IP IQ 2021漏洞CVE-2021-22986：远程代码执行风险

### CVE-2021-22986: F5 BIG-IP-IQ 的远程代码执行漏洞分析 **背景**： CVE-2021-22986是一个针对F5 BIG-IP设备及其附属产品BIG-IP IQ（Intelligence Query）的安全漏洞。该漏洞允许攻击者通过不安全的API调用，...