Apache CVE-2023-25690 漏洞手动调试分析

文章预览

声明： 文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。 博客新域名： https://gugesay.com 不想错过任何消息？设置星标 ↓ ↓ ↓ 目录 漏洞简述 环境搭建 apr apr-util httpd 安装依赖 下载源码 VS Code调试配置 开启模块 设置反向代理 动态调试 漏洞分析 纸上得来终觉浅，绝知此事要躬行。  ---陆游 漏洞简述 Apache HTTP Server 版本 2.4.0 到 2.4.55 上的某些 mod_proxy 配置允许 HTTP 请求走私攻击。启用 mod_proxy 以及特定配置的 RewriteRule 或 ProxyPassMatch 模块时，当规则与用户提供的URL的某些部分匹配时，会因为变量替换从而造成代理请求目标错误 此漏洞会造成请求拆分和走私，引起权限绕过，缓存投毒等攻击。 环境搭建 操作系统：Ubuntu 20.04 IDE：VS Co ………………………………