常见中间件漏洞之四:Apache

1. CVE-2021-41773

Apache HTTP Server 路径穿越漏洞

漏洞简介

该漏洞是由于Apache HTTP Server 2.4.49版本存在⽬录穿越漏洞,在路径穿越⽬录<Directory/>Require all granted</Directory>允许被访问的的情况下(默认开启),攻击者可利⽤该路径穿越漏洞读取到Web⽬录之外的其他⽂件

在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执⾏任意cgi命令(RCE)

影响版本

Apache HTTP Server 2.4.49

某些Apache HTTPd 2.4.50也存在此漏洞

环境搭建

docker pull blueteamsteve/cve-2021-41773:no-cgid

漏洞复现

http://8.138.19.182:8082/

1.使⽤poc

curl http://8.138.19.182:8082/cgi-bin/../../../../etc/passwd

2.⼯具验证

3.在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执⾏任意cg命令

相关推荐
vortex52 小时前
Apache 配置文件提权的实战思考
apache
失败又激情的man9 小时前
Scrapy进阶封装(第四阶段:中间件设置,动态UA,ip代理池)
爬虫·scrapy·中间件
亲爱的非洲野猪11 小时前
Kafka消息积压的多维度解决方案:超越简单扩容的完整策略
java·分布式·中间件·kafka
涤生大数据12 小时前
Apache Spark 4.0:将大数据分析提升到新的水平
数据分析·spark·apache·数据开发
摘星编程20 小时前
深入理解责任链模式:从HTTP中间件到异常处理的实战应用
http·设计模式·中间件·责任链模式·实战应用
阿絮~1 天前
Apache RocketMQ进阶之路阅读笔记和疑问
笔记·apache·rocketmq
~山有木兮2 天前
LiteHub中间件之限流实现
网络·http·中间件
fo安方3 天前
运维的利器–监控–zabbix–第三步:配置zabbix–中间件–Tomcat–步骤+验证
运维·中间件·zabbix
Code季风3 天前
Gin 中间件详解与实践
学习·中间件·golang·go·gin
Fireworkitte3 天前
Apache POI 详解 - Java 操作 Excel/Word/PPT
java·apache·excel