如何挖掘Apache2中的CVE-2021-41773漏洞以保护Web服务器的安全

admin 2021年12月4日01:00:50安全文章评论24 views1288字阅读4分17秒阅读模式

如何挖掘Apache2中的CVE-2021-41773漏洞以保护Web服务器的安全

关于ScaRCE框架

ScaRCE是一个专门针对漏洞CVE-2021-41773的漏洞挖掘框架,该工具可以帮助广大研究人员在漏洞扫描或渗透测试过程中,识别出公开站点中的CVE-2021-41773漏洞。

CVE-2021-41773漏洞主要影响的是Apahce 2 Web服务器,而ScaRCE通过扫描识别的方法找到目标Web服务器中的漏洞之后,将能够在目标Web服务器(需启用MOD_CGI)上执行远程命令注入。

该工具支持扫描单个目标,或从目标列表文件中读取目标信息并进行大规模识别扫描。

漏洞信息

根据Apache官方发布的安全公告,Apache HTTP Server中存在一个路径穿越漏洞,漏洞编号为CVE-2021-41773。Apache HTTP Server(HTTPd)是Apache软件基金会的一个开放源代码的网页服务器,而Apache HTTP Server 2.4.49版本对路径规范化所做的更改中存在一个路径穿越漏洞,攻击者可利用该漏洞读取到Web目录外的其他文件,如系统配置文件、网站源码等,甚至在特定情况下,攻击者可构造恶意请求执行命令,控制服务器,且目前已存在在野利用。除此之外,攻击者还可利用该漏洞获得敏感信息甚至远程执行代码。

工具要求

· curl

· bash
· git

工具安装

广大研究人员可以使用下列命令将该项目源码克隆至本地,并执行ScaRCE框架脚本:

 - git clone https://github.com/HightechSec/scarce-apache2 - cd scarce-apache2 - bash scarce.sh

除此之外,你还可以使用下列方式在你的系统上安装并使用ScaRCE:

 - git clone https://github.com/HightechSec/scarce-apache2 - cd scarce-apache2 - sudo cp scarce.sh /usr/bin/scarce && sudo chmod +x /usr/bin/scarce - $ scarce

工具使用

菜单选项

· 菜单1:根据提供的文件扫描LFI漏洞,文件中包含目标主机URL列表或单个主机的URL地址。

· 菜单2:根据提供的文件扫描RCE(远程代码执行)漏洞,文件中包含目标主机URL列表或单个主机的URL地址。

· 菜单3:通过给定的目标URL地址在目标主机上实现远程代码执行,如果扫描结果存在假阳性,即目标并不受漏洞影响,则有可能报“500错误信息”。

URL格式

使用http://或https://形式的URL地址来作为单个目标的地址参数。

对于通过列表文件提供的URL地址或IP地址,请不要使用如下所示的URL地址格式:

· https://target.com

· http://hackerone.com

· https://bugcrowd.com

工具使用演示

如何挖掘Apache2中的CVE-2021-41773漏洞以保护Web服务器的安全

如何挖掘Apache2中的CVE-2021-41773漏洞以保护Web服务器的安全

如何挖掘Apache2中的CVE-2021-41773漏洞以保护Web服务器的安全

工具地址

https://github.com/HightechSec/scarce-apache2

如何挖掘Apache2中的CVE-2021-41773漏洞以保护Web服务器的安全



精彩推荐






如何挖掘Apache2中的CVE-2021-41773漏洞以保护Web服务器的安全

如何挖掘Apache2中的CVE-2021-41773漏洞以保护Web服务器的安全
如何挖掘Apache2中的CVE-2021-41773漏洞以保护Web服务器的安全
如何挖掘Apache2中的CVE-2021-41773漏洞以保护Web服务器的安全
如何挖掘Apache2中的CVE-2021-41773漏洞以保护Web服务器的安全

原文始发于微信公众号(FreeBuf):如何挖掘Apache2中的CVE-2021-41773漏洞以保护Web服务器的安全

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月4日01:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  如何挖掘Apache2中的CVE-2021-41773漏洞以保护Web服务器的安全 http://cn-sec.com/archives/659977.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: