它快速、可靠并且可通过简单的 API 扩展,将 Perl/Python 等解释器编译到服务器中。 Apache 披露了一个在 Apache HTTP Server 2.4.49 上引入的漏洞,称为 CVE-2021-41773。同时发布了2.4.50更新,修复了这个漏洞。该漏洞允许攻击者绕过路径遍历保护,使用编码并读取网络服务器文件系统上的任意文件。运行此版本 Apache ...
CVE-2021-42013为目录穿越文件读取漏洞,影响 httpd 2.4.49,CVE编号为CVE-2021-41773, https 2.4.50不完全修复可绕过,如果开启mod_cgi则可RCE。 分析 CVE-2021-41773复现分析如下: 利用网上师傅的docker镜像 docker run -p 8080:80 -d --privileged turkeys/httpd:cve-2021-41773 1. 环境中有安装好的 pwndbg ...
漏洞复现:CVE-2021-42013 漏洞描述 该漏洞是因为对CVE-2021-41773的修复不够充分,攻击者可以使用路径遍历攻击将URL映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置“要求全部拒绝”的保护,则这些文件会被访问到。攻击者可以利用此漏洞读取到Web目录之外的其他文件。 拉取漏洞环...
漏洞复现:CVE-2021-42013 漏洞描述 该漏洞是因为对CVE-2021-41773的修复不够充分,攻击者可以使用路径遍历攻击将URL映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置“要求全部拒绝”的保护,则这些文件会被访问到。攻击者可以利用此漏洞读取到Web目录之外的其他文件。 拉取漏洞环...
apache 远程代码执行 (CVE-2021-42013) 目录 1、漏洞描述 2、ip:port访问 3、burp抓包,post命令执行 1、漏洞描述 Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点,发现 Apache HTTP Server 2.4.50 中针对 CVE-2021-41773 的修复不够...
CVE-2021-41773 Apache HTTP Server路径遍历 漏洞描述 在Apache HTTP Server 2.4.49 中对路径规范化所做的更改中发现了一个缺陷。攻击者可以使用路径遍历攻击将 URL 映射到预期文档根目录之外的文件。如果文档根目录之外的文件不受“要求全部拒绝”的保护,则这些请求可能会成功。此外,此缺陷可能会泄漏 CGI 脚本等解...
CVE-2021-42013 漏洞原理 Apache HTTP Server 2.4.50 中对 CVE-2021-41773 的修复不够充分。攻击者可以使用路径遍历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置 “要求全部拒绝” 的保护,则这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本,则...
漏洞测试 CVE-2021-42013 漏洞描述 本来想着8点多了休息一下,结果老板发信息说复现一下漏洞。那我就整一下吧。前几天电脑坏了之后里面东西丢了,虚拟机搭建的漏洞复现环境也没有了,所以只能FOFA找个网站直接干了。 https://pastebin.com/DHpCNz9n
CVE-2021-41773&&CVE-2021-42013复现 K1 2021-10-09 16:05:30 387513 CVE-2021-41773 漏洞原理 Apache HTTP Server 是 Apache 基础开放的流行的 HTTP 服务器。在其 2.4.49 版本中,引入了一个路径体验,满足下面两个条件的 Apache 服务器将受到影响: 版本等于2.4.49 <Directory />Require all granted</...
如果还为这些别名路径启用了 CGI 脚本,则能够导致远程代码执行,形成Apache HTTP Server路径遍历和远程代码执行漏洞(CVE-2021-42013)。 Apache HTTP Server 项目已推出官方修复程序,但是,当研究人员查看滥用此漏洞的恶意样本时,他们发现更多的此类漏洞被滥用,以针对恶意挖掘门罗币的产品和软件包中的不同漏洞。在本文中,...