0x00 简介
Lanproxy是一种把局域网个人计算机、服务器代理到公共网络上的内网穿透工具,支持 tcp流量转发,可以支持任何 tcp高层协议,可做访问内网网站、本地支付接口调试、 ssh访问、远程桌面等,而且自带wen在线管理面板,添加端口配置十分简单。现在市场上提供类似服务的有花生壳、TeamView、GoToMyCloud等,但是第三方的公共网络服务器必须为第三方支付费用,而且这些服务存在种种限制,此外,由于数据包将通过第三方网络传输,因此对数据安全是一大威胁。
0x01 漏洞概述
Lanproxy 路径遍历漏洞 (CVE-2021-3019)通过…/绕过读取任意文件。该漏洞允许目录遍历读取/…/conf/config.properties来获取到内部网连接的凭据。
0x02 影响版本
Lanproxy 0.1
0x03 环境搭建
1.下载Lanproxy的发布包https://file.nioee.com/d/2e81550ebdbd416c933f/,相关基本内容发布包已配置完成,可不做过多配置,然后点击下载。
2.下载完成后,解压,在/proxy-server-0.1/bin文件夹内打开终端,找到startup.sh的脚本文件,并执行命令./startup.sh。