szd79056181
szd79056181
## 本 poc 是检测什么漏洞的 该漏洞为CVE-2021-42013的绕过 Apache HTTPd是Apache基金会开源的一款流行的HTTP服务器。2021年10月8日Apache HTTPd官方发布安全更新,披露了 Apache HTTPd 2.4.49/2.4.50 路径穿越漏洞。由于对CVE-2021-41773 Apache HTTPd 2.4.49 路径穿越漏洞的修复不完善,攻击者可构造恶意请求绕过补丁,利用穿越漏洞读取到Web目录之外的其他文件。同时若Apache HTTPd开启了cgi支持,攻击者可构造恶意请求执行命令,控制服务器。阿里云应急响应中心提醒 Apache HTTPd 用户尽快采取安全措施阻止漏洞攻击。 ## 测试环境 Apache HTTPd 2.4.50  ## 备注 
最近一直想写log4j2的一些poc来测试,发现存在bug,无法接收到自定义的rmi请求,我这边已fastjson的RMI为例,log4j的就不举例了。 同样的环境,直接用高级版,扫出fastjson漏洞  说明我的反连平台配置是没问题的,目前反连平台的http跟rmi是用的同一个端口, 我这大概写下我自定义的poc  抓下来的请求是跟高级版的paylaod一样的,但是就是扫不出来,也没收到rmi请求 自写poc抓到的包:  反复核对过,数据包是没问题的,但是不知道为啥反连平台那边就是没记录。 有人帮忙看看吗。是我写的poc问题还是bug,确实接收不了指定的rmi,目前来看要调用rmi的poc比较少,官方poc里面也没有样例,按理说我这样写应该没错。
该漏洞为未公开漏洞 CNVD-2021-49104,该漏洞是由于 e-office 未能正确处理上传模块中用户输入导致的,攻击者可以构造恶意的上传数据包,实现任意代码执行。 漏洞参考链接: http://www.ctfiot.com/13682.html FOFA 查询 app="泛微-EOffice" 影响范围 影响版本:泛微e-office V9.0 测试过程:   脚本验证: 