漏洞描述:
Lanproxy是ffay个人开发者的一个可将局域网内服务代理到公网的内网穿透工具。
Lanproxy 0.1存在路径遍历漏洞,该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。
复现过程:
1.访问http://ip:port,出现如下页面,开始实验
2.通过burp抓包,修改get请求,读取/etc/passwd
借此漏洞,可以访问攻击者想要的敏感数据,包括配置文件、日志、源代码等信息,更加方便攻击者对网站进行渗透。
修复建议:
1.升级版本。