關于ScaRCE框架
ScaRCE是一個專門針對漏洞CVE-2021-41773的漏洞挖掘框架,該工具可以幫助廣大研究人員在漏洞掃描或滲透測驗程序中,識別出公開站點中的CVE-2021-41773漏洞,
CVE-2021-41773漏洞主要影響的是Apahce 2 Web服務器,而ScaRCE通過掃描識別的方法找到目標Web服務器中的漏洞之后,將能夠在目標Web服務器(需啟用MOD_CGI)上執行遠程命令注入,
該工具支持掃描單個目標,或從目標串列檔案中讀取目標資訊并進行大規模識別掃描,
漏洞資訊
根據Apache官方發布的安全公告,Apache HTTP Server中存在一個路徑穿越漏洞,漏洞編號為CVE-2021-41773,Apache HTTP Server(HTTPd)是Apache軟體基金會的一個開放源代碼的網頁服務器,而Apache HTTP Server 2.4.49版本對路徑規范化所做的更改中存在一個路徑穿越漏洞,攻擊者可利用該漏洞讀取到Web目錄外的其他檔案,如系統組態檔、網站原始碼等,甚至在特定情況下,攻擊者可構造惡意請求執行命令,控制服務器,且目前已存在在野利用,除此之外,攻擊者還可利用該漏洞獲得敏感資訊甚至遠程執行代碼,
工具要求
- curl
- bash
- git
工具安裝
廣大研究人員可以使用下列命令將該專案原始碼克隆至本地,并執行ScaRCE框架腳本:
-git clone https://github.com/HightechSec/scarce-apache2
-cd scarce-apache2
-bash scarce.sh
除此之外,你還可以使用下列方式在你的系統上安裝并使用ScaRCE:
-git clone https://github.com/HightechSec/scarce-apache2
-cd scarce-apache2
-sudo cp scarce.sh /usr/bin/scarce && sudo chmod +x /usr/bin/scarce
-$ scarce
→點擊可獲取網路安全資料·攻略←
- 2000多本網路安全系列電子書
- 網路安全標準題庫資料
- 專案原始碼
- 網路安全基礎入門、Linux、web安全、攻防方面的視頻
- 網路安全學習路線圖
工具使用
選單選項
選單1:根據提供的檔案掃描LFI漏洞,檔案中包含目標主機URL串列或單個主機的URL地址,
選單2:根據提供的檔案掃描RCE(遠程代碼執行)漏洞,檔案中包含目標主機URL串列或單個主機的URL地址,
選單3:通過給定的目標URL地址在目標主機上實作遠程代碼執行,如果掃描結果存在假陽性,即目標并不受漏洞影響,則有可能報“500錯誤資訊”,
URL格式
使用http://(例如http://example.com)或https://(例如https://example.com)形式的URL地址來作為單個目標的地址引數,
對于通過串列檔案提供的URL地址或IP地址,請不要使用如下所示的URL地址格式:
https://target.com
http://hackerone.com
https://bugcrowd.com
工具使用演示
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/375215.html
標籤:其他
上一篇:Barrett And Montgomery of Polynomials
下一篇:XSS跨站腳本攻擊介紹