常见中间件漏洞:Apache篇

原创 于 2025-03-24 22:13:05 发布 · 308 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#apache

CVE-2021-41773

漏洞简介

CVE-2021-41773 是 Apache HTTP Server 2.4.49 版本中的一个 路径遍历漏洞(Path Traversal),允许攻击者绕过安全限制,访问 Web 根目录之外的文件,甚至可能导致 远程代码执行(RCE)

过程

使用poc即可

安全中级3:apache中间件漏洞
weixin_62870380的博客
06-06 1853
运维人员在配置http的默认配置文件的时候,开启了AddHandler application/x-httpd-php .php,虽然限制住了php文件,但是我们可以添加后缀.jpg,只要我们的后缀含有一个php文件就可以解析,没必要是最后一个后缀。我们上传php文件的时候,我们的服务器拒绝上传,但是 apache在配置文件的http.conf的时候开启了SSI(服务器端包含)服务,允许我们的html页面上传shtml文件,而我们的cgi是前端的一个脚本,我们利用他的语法执行任意的命令。
常见中间件漏洞:WebLogic
m0_63944205的博客
08-06 1600
Weblogic Server中的RMI 通信使⽤T3协议在Weblogic Server和其它Java程序(客户端或者其它 Weblogic Server实例)之间传输数据, 服务器实例会跟踪连接到应⽤程序的每个Java虚拟机(JVM)中, 并创建T3协议通信连接, 将流量传输到Java虚拟机. T3协议在开放WebLogic控制台端⼝的应⽤上默认开 启, 攻击者可以通过T3协议发送恶意的的反序列化数据, 进⾏反序列化, 实现对存在漏洞的weblogic组件 的远程代码执⾏攻击。此时达到未授权得效果。
中间件安全—Apache常见漏洞
Karka_的博客
03-20 1474
简单介绍一下apache是什么,Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将python等解释器编译到服务器中。ApacheHTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。apache
Apache漏洞大全(附修复方法)
C233333235的博客
08-08 2322
一.文件解析Apache 是世界使⽤排名第⼀的 Web 服务器软件。它可以运⾏在⼏乎所有⼴泛使⽤的计算机平台上,由于其跨平台和安全性被⼴泛使⽤,是最流⾏的 Web 服务器端软件之⼀。一.文件解析漏洞复现环境搭建命令如下打开并访问靶机后,我们上传一个名为1.php.jpg的文件,内容为可以直接上传成功,我们尝试访问后也成功访问然后尝试用蚁剑连接,发现连接成功。
常见中间件漏洞(四、Apache合集)
2301_76631050的博客
08-06 796
漏洞是由于Apache HTTP Server 2.4.49版本存在目录穿越漏洞,在路径穿越目录<Directory/>Require all granted</Directory>允许被访问的的情况下(默认开启),攻击者可利用该路径穿越漏洞读取到Web目录之外的其他文件,在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执行任意cgi命令(RCE)。
常见中间件漏洞总结PPT
01-25
常见的WebLogic漏洞包括弱口令、SSRF(服务器端请求伪造)、任意文件上传和反序列化漏洞。利用这些漏洞,攻击者可以上传恶意war包,执行任意代码等。这些漏洞在Oracle WebLogic Server的多个版本中存在,如**.*.*.*....
Web中间件常见漏洞总结.pdf
06-14
Web中间件是企业级Web应用程序运行的基础环境,常见中间件产品包括IIS、Apache、Tomcat等。中间件的安全问题常常成为黑客攻击的目标,因此深入理解和掌握Web中间件常见漏洞的知识对于网络安全防护至关重要。下面,...
中间件漏洞合集:Apache HTTPD换行解析漏洞分析
"这文档是关于中间件漏洞的合集,涵盖了常见的Web中间件如IIS、Nginx和Apache,特别是重点讨论了Apache HTTPD的换行解析漏洞CVE-2017-15715)。文档中提到了这个漏洞允许攻击者通过特殊构造的文件名绕过服务器的...
漏洞复现】Apahce HTTPd 2.4.49(CVE-2021-41773)路径穿越漏洞
中二电工吹短笛的博客
05-09 1115
是一个开源、跨平台的Web服务器,它在全球范围内被广泛使用。2021年10月5日,Apache发布更新公告,修复了中的一个路径遍历和文件泄露漏洞。攻击者可以通过路径遍历攻击将 URL 映射到预期文档根目录之外的文件,如果文档根目录之外的文件不受“requireall denied”访问控制参数的保护(默认禁用),则这些恶意请求就会成功。除此之外,该漏洞还可能会导致泄漏 CGI 脚本等解释文件的来源。
漏洞复现】Apache_HTTP_2.4.50_路径穿越漏洞(CVE-2021-42013)
过期的秋刀鱼
11-04 1985
的不完整修复导致的漏洞,攻击者可以使用路径遍历攻击将URL映射到由类似别名指令配置的目录之外的文件。此漏洞影响Apache HTTP Server 2.4.49和2.4.50,而不影响更早版本。Apache HTTP Server 2.4.50修补了以前的CVE-2021-41773漏洞。在服务器上启用mods cgi或cgid后,此路径遍历漏洞将允许执行任意命令。Apache HTTP Server 2.4.49以及2.4.50两个版本。CVE-2021-42013是由。必须是一个存在且可访问的目录)
WindowsServer Apache2.4 2个轻微漏洞的解决办法
weixin_33671935的博客
12-20 506
问题1:windows apache设置X-Frame-Options的方法1、打开 httpd.conf2、把 #LoadModule headers_module 前面的 # 号去掉3、在http.conf文件最末尾增加:Header always append X-Frame-Options SAMEORIGIN4、重启ApacheX-Frame-Options 有三个值:DENY表示该页面...
Apache HTTPD 换行漏洞CVE-2017-15715)
sleepywin的博客
08-08 458
Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。
CVE-2021-41773
最新发布
Dikesi的博客
02-08 885
Apache HTTP Server 路径穿越漏洞
[中间件漏洞]apache漏洞复现
紫洋的博客
05-25 1626
其2.4.0~2.4.29版本中存在 一个解析漏洞,在解析PHP时,1.php\x0a将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。Apache默认一个文件可以有多个以点分割的后缀,当最右边的后缀无法识别,则继续向左识别,直到识别到合法后缀才进行解析。最后一个后缀名为.jpg,合法,因为文件名info.php.jpg中包含.php,所以解析为php文件。在有多个后缀的情况下,只要包含.php后缀的文件就会被识别出php文件进行解析,不需要是最后一个后缀。先创建文件,文件内容为phpinfo。
Apache HTTP Server 路径穿越漏洞复现(CVE-2021-41773 )
qq_59975439的博客
06-10 7613
Apache HTTP Server 路径穿越漏洞复现(CVE-2021-41773 )
CVE-2021-41773(42013) Apache HTTP Server路径穿越漏洞复现
weixin_45260839的博客
06-03 7000
CVE-2021-41773(42013) Apache HTTP Server路径穿越漏洞复现
Apache HTTPd 2.4.49 路径穿越漏洞CVE-2021-41773)复现
weixin_59086772的博客
12-10 2634
0x00 漏洞概述 2021年10月5日,Apache官方发布了一批漏洞信息,其中Apache HTTP Server路径穿越漏洞CVE-2021-41773。 满足条件: 版本等于2.4.49 穿越的目录允许被访问,比如配置了Require all granted。(默认情况下是不允许的) 0x01环境搭建 使用docker搭建Apache HTTPd 2.4.49版本服务器: Dockerfile FROM vulhub/httpd:2.4.49 LABEL mai
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值