vulhub-CVE-2021-41773

已于 2022-02-11 21:02:20 修改
阅读量409 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: 安全 web安全
于 2022-01-05 02:09:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ce666666/article/details/122315171
版权
本文详细介绍了Apache HTTP Server 2.4.49版本中的路径遍历漏洞,该漏洞可能导致远程RCE并允许访问超出文档根目录的文件。受影响的版本包括2.4.49和2.4.50。通过环境搭建和测试,可以重现此漏洞。同时,提供了参考文献帮助进一步理解。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞原理

Apache在2.4.49版本中,引入路径体验,该漏洞仅影响具有“要求全部拒绝”访问权限的 Apache HTTP Server 2.4.49 版控制配置禁用。

漏洞危害

可利用漏洞进行远程RCE,访问web服务器上文档根目录之外的任意文件。泄露CGI。

影响版本

Apache HTTPd 2.4.49/2.4.50版本

环境搭建和测试

切换到vulhub/httpd/CVE-2021-41773,启动环境

docker-compose up -d

浏览器访问ip:8080
请添加图片描述
使用curl发送payload

curl -v --path-as-is http
最低0.47元/天 解锁文章
vulhub
03-10
Vulhub
vulhub系列】CVE-2021-41773 Apache HTTPd 2.4.49 路径穿越漏洞复习
Wiofgb的博客
10-03 1250
vulhub系列】CVE-2021-41773 Apache HTTPd 2.4.49 路径穿越漏洞复习
vulhub | kali Linux搭建vulhub靶场(超详细)
最新发布
03-23 1826
手把手教你用kali轻松搭建 vulhub 测试环境!
CVE-2021-41773Apache 文件读取&命令执行)复现
Biu_Biu_Bi的博客
01-03 793
Apache httpd Server 2.4.49 版本引入了一个具有路径穿越漏洞的新函数,但需要配合穿越的目录 配置 Require all granted,攻击者可利用该漏洞实现路径穿越从而读取任意文件,或者在配置了cgi的httpd程序中执行bash指令,从而有机会控制服务器。
apache-cve_2021_41773 复现
YouthBelief的博客
11-05 1806
apache-cve_2021_41773 复现apache-cve_2021_41773 复现0x01 漏洞描述0x02 影响范围0x03 漏洞复现手工复现0x04 漏洞修复 apache-cve_2021_41773 复现 Apache HTTP Server是一个开源、跨平台的Web服务器,它在全球范围内被广泛使用。 0x01 漏洞描述 2021年10月5日,Apache发布更新公告,修复了Apache HTTP Server2.4.49中的一个路径遍历和文件泄露漏洞(CVE-2021-41773)。
vulhub复现CVE-2021-44228log4j漏洞
weixin_48878440的博客
12-12 1056
vulhub复现cve-2021-44228 log4j漏洞
vulhub靶场-[CVE-2021-29441]Alibaba Nacos权限认证绕过漏洞
ccccai22的博客
06-28 793
vulhub靶场-[CVE-2021-29441]Alibaba Nacos权限认证绕过漏洞
vulhub环境)[CVE-2021-44228]:log4j2漏洞复现流程详解
m0_62670778的博客
04-27 1206
下载对应的jar包。将jar包拷贝到kali虚拟机,或者直接在kali中下载。构造payload:这是一条bash反弹shell。将payload进行base64编码。
CVE-2021-41773漏洞复现
dreamthe的博客
10-18 8275
1.安装debian系统 首先我选择的系统是debian10版本,也可以在别的系统完成复现,我想一个纯净版,所有重新安装了一个系统,安装步骤简单展示一下。 1.创建虚拟机,点击下一步。 导入镜像 自己选安装的位置以及虚拟机的名称。 安装过程需要设置管理员密码和新建一个用户,自己设置一下就可以了 这里选择了第二个。 因为之前我们选择了lvm,那么这里选择是就可以了 因为我们需要一个简单系统,所有只选择了下面三个安装软件 中间少的部分就是一直点击继续就可..
CVE-2021-41773 漏洞复现
爱吃仡坨的Blog
10-13 741
Apache HTTP Server 2.4.49版本使用的ap_normalize_path函数在对路径参数进行规范化时会先进行url解码,然后判断是否存在../的路径穿越符当检测到路径中存在%字符时,如果紧跟的2个字符是十六进制字符,就会进行url解码,将其转换成标准字符,如%2e->.,转换完成后会判断是否存在../。
vulhub-master.zip
01-20
vulhub-master.zip
CVE-2021-41773 - (apache 文件读取&命令执行)漏洞复现
三天不打上房揭瓦的博客
10-08 3535
目录漏洞描述影响版本漏洞复现漏洞修复 漏洞描述 CVE-2021-41773 漏洞是在 9 月 15 日发布的 2.4.49 版中对路径规范化所做的更改引入到 Apache HTTP Server 中的。此漏洞仅影响具有“require all denied”访问权限控制配置被禁用的Apache HTTP Server 2.4.49 版本。成功的利用将使远程攻击者能够访问易受攻击的 Web 服务器上文档根目录之外的任意文件。根据该公告,该漏洞还可能泄露“CGI 脚本等解释文件的来源”,其中可能包含攻击者可以
Apache漏洞复现CVE-2021-41773
m0_59151303的博客
08-06 287
该漏洞是由于Apache HTTP Server 2.4.49版本存在目录穿越漏洞,在路径穿越目录允许被访问的的情况下(默认开启),攻击者可利用该路径穿越漏洞读取到Web目录之外的其他文件在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执行任意cgi命令(RCE)
vulhub】ubuntu上搭建vulhub
Sulpice92的博客
12-22 2277
理论上最便捷的方法应该是下一个kali,kali自带有docker,而且官网上下的虚拟机镜像还可以直接使用;安装过程中遇到了不少网络问题,对虚拟机网卡配置、linux网络配置加深了理解;相当于是主动把靶场搭建过程复杂化了,但是收获也不少。
Apache HTTP Server 路径穿越漏洞复现(CVE-2021-41773 )
qq_59975439的博客
06-10 7048
Apache HTTP Server 路径穿越漏洞复现(CVE-2021-41773 )
CVE-2021-41773 Apache路径穿越漏洞复现
afei001
10-10 405
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞复现 4.1 curl复现 4.2 Burp抓包 4.3 CVE-2021-41773 POC 5.修复建议 1.漏洞概述 2021年10月8日Apache HTTPd官方发布安全更新,披露了CVE-2021-42013 Apache HTTPd 2.4.49/2.4.50 路径穿越漏洞。Apache HTTP Server 2.4.49版本对路径规范化所做的更改中存在一个路径穿越漏...
在kali中演示如何超级详细安装漏洞靶场Vulhub
weixin_54787877的博客
03-13 1866
前言 我们都知道,在学习网络安全的过程中,搭建漏洞靶场有着至关重要的作用。复现各种漏洞,能更好的理解漏洞产生的原因,提高自己的学习能力。下面我在kali中演示如何详细安装漏洞靶场Vulhub。 什么是VulhubVulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。Vulhub的官方地址为www.vulhub.org。 安装docker 因为Vulh...
vulhubCVE-2021-42013
01-10
此漏洞源于对先前发布的CVE-2021-41773修复措施不足,在某些情况下允许攻击者通过精心设计的URL访问位于Web根目录外的资源。 具体来说,尽管官方尝试修补了`/xx/.%2e/`形式的路径遍历模式,但对于像`/.%%32%65/`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值