当前位置: 首页 > news >正文

常见中间件漏洞之四:Apache

news 2025/7/4 7:51:34

1. CVE-2021-41773

Apache HTTP Server 路径穿越漏洞

漏洞简介

该漏洞是由于Apache HTTP Server 2.4.49版本存在⽬录穿越漏洞,在路径穿越⽬录<Directory/>Require all granted</Directory>允许被访问的的情况下(默认开启),攻击者可利⽤该路径穿越漏洞读取到Web⽬录之外的其他⽂件

在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执⾏任意cgi命令(RCE)

影响版本

Apache HTTP Server 2.4.49

某些Apache HTTPd 2.4.50也存在此漏洞

环境搭建

docker pull blueteamsteve/cve-2021-41773:no-cgid

漏洞复现

http://8.138.19.182:8082/

1.使⽤poc

curl http://8.138.19.182:8082/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd

2.⼯具验证

3.在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执⾏任意cg命令

http://www.dtcms.com/a/86315.html

相关文章:

  • 通信基本概念
  • windows切换系统版本
  • 【uni-app】tabBar使用
  • Python中json和jsonify的使用
  • 【MySQL】锁机制
  • DeepSeek技术架构解析:MoE混合专家模型
  • C语言-桥接模式详解与实践
  • 清华大学大模型智能体自我认知与决策流程!自知、反思、规划:城市环境目标导航中的大模型智能体新范式
  • 驱动开发的引入
  • k8s中运行nginx的亲和性
  • BigEvent项目后端学习笔记(二)文章分类模块 | 文章分类增删改查全流程解析(含优化)
  • 3.milvus索引-HNSW
  • SpringBoot集成Flyway
  • java八股文之并发编程
  • JSON Web Token (JWT) 完整指南
  • 决策树调参技巧
  • 数据库操作练习
  • 计算机网络——物理层设备
  • 深度剖析HTTP协议—GET/PUT请求方法的使用-构造请求的方法
  • Unity-AI-Deepseek生成的生成模型代码
  • 内存取证之windows-Volatility 3
  • SQL Optimization
  • uboot 编译过程
  • 蓝桥杯贪心
  • js逆向之断点调试和python补环境
  • Playwright + MCP:用AI对话重新定义浏览器自动化,效率提升300%!
  • [c语言日寄]数据输出
  • 【FPGA开发】Cordic原理推导、Xilinx PG105手册解读
  • 【AI测试必学】DeepSeek API 快速入门:获取 API Key 与调用 API 步骤详解
  • 一文读懂Python之json模块(33)