vulfocus apache-cve_2021_41773 漏洞复现
名称: vulfocus/apache-cve_2021_41773
描述: Apache HTTP Server 2.4.49、2.4.50版本对路径规范化所做的更改中存在一个路径穿越漏洞,攻击者可利用该漏洞读取到Web目录外的其他文件,如系统配置文件、网站源码等,甚至在特定情况下,攻击者可构造恶意请求执行命令,控制服务器。
第一种方法:
这个命令报错的原因是curl不支持--path-as-is选项,需要更新到最新或切换支持--path-as-is选项的版本。--path-as-is选项是用于告诉 curl 不要对 URL 进行编码,并且尽可能按照输入的路径发送请求
换第二种方法
用burp suite访问网站的这个路径
/icons/.%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/etc/passwd
为什么要用burp,因为浏览器自动对路径进行了一次url解码,用burp发送过去的请求,不会被自动解码