apache漏洞复现-多后缀解析漏洞,换行解析漏洞,2.4.49,2.4.50

最新推荐文章于 2024-02-29 11:23:54 发布
VIP文章 最新推荐文章于 2024-02-29 11:23:54 发布
阅读量1.9k 收藏 1
点赞数
文章标签: 安全 web安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64655821/article/details/127307618
版权

 

目录

准备工作

Apache多后缀解析漏洞复现

漏洞复现

漏洞防御

Apache换行解析漏洞复现(CVE-2017-15715)

漏洞复现

漏洞防御

CVE-2021-41773 漏洞复现

CVE-2021-42013 漏洞复现

环境:下载docker 和 vulhub

安装包:蚁剑安装包(百度网盘 我的资源>安装包>蚁剑winlinux安装包>AntSword-Loader-v4.0.3-win32-x64.zip和antSword-master.zip)

准备工作

开启docker

systemctl start docker

setenforce 0

进入vulhub目录下载漏洞

cd vulhub-master/vulhub-master/

把防火墙关了

最低0.47元/天 解锁文章
晓目
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache httpd 出现多个漏洞 可能引发DoS攻击 2.2.x及2.4.x版本受影响
weixin_34004576的博客
09-01 4980
近日,Apache 官方发布了httpd的新版本修复了多个安全漏洞,涉及CVE-2017-3167,CVE-2017-3169,CVE-2017-7659,CVE-2017-7668,CVE-2017-7679,可以造成身份验证被绕过以及拒绝服务攻击等。大部分Apache httpd 2.2.x以及2.4.x版本均受影响。相关漏洞信息如下: CVE...
最新版windows apache-tomcat-9.0.50-windows-x64.zip
07-10
最新版windows apache-tomcat-9.0.50-windows-x64.zip最新版windows apache-tomcat-9.0.50-windows-x64.zip
Apache里如何将图片解析成PHP
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
07-15 2556
首先,如果没有安装PHP,先安装PHP yum install -y php 然后进入网站根目录,如果不记得网站根目录,可以去配置文件里找 我的是/mnt/z 所以进入这个目录下,新建一个i.jpg文件 在浏览器里查看这个文件,存在错误 接下来新建一个名为 .htaccess 的文件 在文件里面添加以下内容 这个 i.jpg 就是上面新建的图片 <FilesMatch "i.jpg"> SetHandler application/x-httpd-php </FilesMat
Apache HTTP Server 2.4.50 中的路径遍历和文件泄露漏洞 (CVE-2021-42013)
最新发布
weixin_53639243的博客
02-29 226
Apache HTTP 服务器项目旨在为现代操作系统(包括 UNIX 和 Windows)开发和维护开源 HTTP 服务器。Apache HTTP Server 2.4.50 修补了之前的 CVE-2021-41773 有效负载,但它不完整。修复不完整导致的漏洞,攻击者可以使用路径遍历攻击将 URL 映射到类别名指令配置的目录之外的文件。此漏洞影响 Apache HTTP Server 2.4.492.4.50 以及更早版本。默认页面:http://192.168.92.130:8080。
描述apache和iis文件解析漏洞的原理,以及如何修复apache文件解析漏洞和iis解析漏洞
weixin_57108799的博客
02-26 527
apache与iis文件解析漏洞原理
Web安全】文件上传漏洞
RexHa的博客
12-04 3505
目录1. 文件上传漏洞概述1.1 FCKEditor文件上传漏洞1.2 绕过文件上传检查功能2. 功能还是漏洞2.1 Apache文件解析2.2 IIS文件解析2.3 PHP CGI路径解析2.4 利用上传文件钓鱼 3. 设计安全的文件上传功能文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务端命令的能力。应用:例如上传一张图片、分享一段视频、论坛发帖时附带附件、发邮件时附带附件……文件上传后导致的安全问题一般有:FCKEditor是一款非常流行的富文本编辑器,其上传文件的功能能
Apache HTTP Server 2.4.49 路径穿越漏洞复现及利用
Tauil的博客
07-23 2838
ApacheHTTPServerApache基金会开源的一款流行的HTTP服务器。版本等于2.4.49穿越的目录允许被访问,比如配置了。(默认情况下是不允许的)攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令。.....................
Apache漏洞合集
2301_77315080的博客
10-19 253
shtml跟html类似,也是一种用于网页设计的标记型语言,区别在于:html是一种纯静态的标记型语言,在html文档里面写的内容是什么,用户打开浏览器看到的就是什么,而shtml是一种半静态半动态的标记型语言,在shtml里面可以包含SSI命令,当用户在浏览器浏览shtml文档的时候,里面包含的SSI命令会被解析,然后再呈现内容给用户。3.后缀名为.jpg,因为文件名inf.php.jpg中包含.php,所以解析为php文件,点的HEX值为2e,2e换成0a发送,0a是换行。4.访问页面解析成功。
最新Apache漏洞分析
二狗的博客
12-30 1786
2021年9月16日,Apache官方发布了Apache httpd mod_proxy SSRF漏洞CVE-2021-40438,影响v2.4.48及以下版本。该漏洞影响范围较广,危害较大,利用简单,不得不引起重视。该ssrf代理访问漏洞适用于apache的绝大多是版本,相对来说漏洞原理比较简单,隐藏了多年也是很不容易了,至于危害的话,笔者认为危害还是挺大的,可以访问到服务器内部一些不对外开放的http端口及uds文件。
Apache Http Server安全漏洞解决
热门推荐
DaiSnow的博客
04-21 1万+
场景:公司使用的大数据集群云服务器,安全扫描出严重漏洞,扫描漏洞如下: 安全漏洞扫描报告 端口 协议 服务 严重等级 漏洞 – ICMP – 弱 ICMP timestamp请求响应漏洞 – UDP – 弱 允许Traceroute探测 80 TCP http 严重 严重 严重 严重 严重 弱 OpenSSL 安全漏洞(CVE-2022-0778) Apache HTTP Server 环境问题漏洞(CVE-2022-22720) Apache HTTP Server 输入验证错误漏
apache-httpd-2.4.58-win64-VS17.zip
12-15
apache-httpd-2.4.58-win64-VS17.zip
最新版linux apache-tomcat-9.0.50.tar.gz
07-10
最新版linux apache-tomcat-9.0.50.tar.gz最新版linux apache-tomcat-9.0.50.tar.gz
httpd-2.4.57
07-10
Apache HTTP Server(简称Apache),是Apache软件基金会的一个开放源代码的网页服务器,可以在大多数电脑操作系统中运行,由于其具有的跨平台性和安全性,被广泛使用,是最流行的Web服务器端软件之一。 升级的第一步...
apache-hive-3.1.2-bin.tar.gz
06-24
为解决hive安全问题,重新编译hive源码升级jetty到9.4.24.v20191120
Apache HTTPD 换行解析漏洞(CVE-2017-15715)
shinygod的博客
11-23 1223
Apache HTTPD 换行解析漏洞
apache代码执行(cve-2021-41773)漏洞复现
weixin_42675091的博客
09-23 777
apache代码执行(cve-2021-41773)漏洞复现
Apache HTTP Server2.4.56 mod_proxy_uwsgi 模块存在请求走私漏洞(CVE-2023-27522)
murphysec的博客
03-09 1333
Apache HTTP Server 是一个Web服务器软件。 该项目受影响版本存在请求走私漏洞。由于mod_proxy_uwsgi.c 中uwsgi_response方法对于源响应头缺少检查,当apache启用mod_proxy_uwsgi后,攻击者可利用过长的源响应头等迫使应转发到客户端的响应被截断或拆分,进而可能造成会话劫持等危害
关于 Apache 常见安全漏洞 --vulhub靶场练习
m0_60742333的博客
03-23 1455
攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令。以下实验环境皆来自于vulhub实验靶场,如下图示例,下载好vulhub环境进入要测试的漏洞文件夹,使用docker-compose up -d 命令开启实验。7. 将请求方式修改成POST,然后在请求体写入echo,并将数据包放行即可,使用bash进行反弹shell。后缀进行解析,导致绕过一些服务器的安全策略。
【中间件漏洞Apache HTTPD 漏洞全集复现(基于Vulhub平台)
Continuejww的博客
09-11 639
①CVE-2017-15715 ②多后缀解析漏洞 ③远程命令执行漏洞 ④CVE-2021-41773 ⑤CVE-2021-42013 ⑥CVE-2021-40438
批判的Apache 2.4.x < 2.4.56 多个漏洞
06-11
Apache 2.4.x < 2.4.56 的多个漏洞主要包括以下几个方面: 1. HTTP/2 相关漏洞Apache 2.4.20 至 2.4.39 版本中存在一个 HTTP/2 相关漏洞,攻击者可以通过发送恶意请求导致服务拒绝或者服务器崩溃。 2. mod_proxy 相关漏洞Apache 的 mod_proxy 模块存在多个漏洞,攻击者可以利用这些漏洞进行 SSRF 攻击、反射型 XSS 攻击、代理欺骗等攻击。 3. mod_ssl 相关漏洞Apache 的 mod_ssl 模块存在多个漏洞,攻击者可以利用这些漏洞进行 DoS 攻击、泄露敏感信息等攻击。 4. mod_rewrite 相关漏洞Apache 的 mod_rewrite 模块存在多个漏洞,攻击者可以利用这些漏洞进行拒绝服务攻击、绕过访问控制等攻击。 总之,如果你使用的是 Apache 2.4.x < 2.4.56 版本,建议尽快升级到最新版本,以免受到攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值