vulfocus apache-cve_2021_41773 漏洞复现

vulfocus apache-cve_2021_41773 漏洞复现

名称: vulfocus/apache-cve_2021_41773

描述: Apache HTTP Server 2.4.49、2.4.50版本对路径规范化所做的更改中存在一个路径穿越漏洞,攻击者可利用该漏洞读取到Web目录外的其他文件,如系统配置文件、网站源码等,甚至在特定情况下,攻击者可构造恶意请求执行命令,控制服务器。

第一种方法:

这个命令报错的原因是curl不支持--path-as-is选项,需要更新到最新或切换支持--path-as-is选项的版本。--path-as-is选项是用于告诉 curl 不要对 URL 进行编码,并且尽可能按照输入的路径发送请求

换第二种方法

用burp suite访问网站的这个路径

/icons/.%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/etc/passwd

​​

为什么要用burp,因为浏览器自动对路径进行了一次url解码,用burp发送过去的请求,不会被自动解码

相关推荐
数据库安全8 小时前
首批|美创智能数据安全分类分级平台获CCIA“网络安全新产品”
大数据·人工智能·web安全
在安全厂商修设备13 小时前
SQL注入与防御-第六章-3:利用操作系统--巩固访问
sql·web安全·网络安全
weixin_472339461 天前
网络安全核心技术解析:权限提升(Privilege Escalation)攻防全景
安全·web安全
武汉唯众智创1 天前
高职院校“赛岗课”一体化网络安全实战类人才培养方案
网络·安全·web安全·网络安全·“赛岗课”一体化·赛岗课
weixin_472339461 天前
网络安全之XSS漏洞:原理、危害与防御实践
安全·web安全·xss
Par@ish2 天前
【网络安全】恶意 Python 包“psslib”仿冒 passlib,可导致 Windows 系统关闭
windows·python·web安全
花木偶2 天前
【郑大二年级信安小学期】Day6:CTF密码学&杂项&工具包
安全·web安全·密码学
黑客老李3 天前
EDUSRC:智慧校园通用漏洞挖掘(涉校园解决方案商)
服务器·前端·网络·安全·web安全
薄荷椰果抹茶3 天前
【网络安全基础】第七章---无线网络安全
网络·安全·web安全
weixin_472339463 天前
网络安全之重放攻击:原理、危害与防御之道
安全·web安全