lanproxy文件读取漏洞复现

最新推荐文章于 2023-07-06 17:31:59 发布
最新推荐文章于 2023-07-06 17:31:59 发布
阅读量305 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 安全 php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45429101/article/details/129722402
版权

lanproxy漏洞复现

一、前言

lanproxy是一款内网穿透工具,
本次Lanproxy 路径遍历漏洞 (CVE-2021-3019)通过…/绕过读取任意文件。该漏洞允许目录遍历读
取/…/conf/config.properties内容

二、环境搭建

本次采用vulfocus平台,搜索CVE-2021-3019
启动环境
![在这里插入图片描述](https://img-blog.csdnimg.cn/331d8f6d9653463089f3bc40e5a79614.png

三、影响范围

Lanproxy 0.1

四、漏洞复现

打开http://123.58.224.8:15662/
在这里插入图片描述执行payload:/…/conf/config.properties,发现失败,并且url变为:http://123.58.224.8:15662/conf/config.properties
我们burp抓包,手动在请求包里执行payload
在这里插入图片描述执行成功,读取到账号密码。在这里插入图片描述

五,缓解措施

升级到最新版本。

asdnaiol
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Lanproxy 任意文件读取漏洞复现 (CVE-2021-3019)
m0_48520508的博客
02-04 581
0x00简介 lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面…)。目前市面上提供类似服务的有花生壳、TeamView、GoToMyCloud等等,但要使用第三方的公网服务器就必须为第三方付费,并且这些服务都有各种各样的限制,此外,由于数据包会流经第三方,因此对数据安全也是一大隐患。 0x01漏洞概述 Lanproxy1.0通过…/绕过读取任意文件。该漏洞允许目录遍历读取/…/conf/
Adminer≤4.6.2任意文件读取漏洞1
08-03
【Adminer≤4.6.2任意文件读取漏洞详解】 Adminer是一款功能强大的Web数据库管理工具,它支持多种主流数据库系统,如MSSQL、MySQL、Oracle、SQLite和PostgreSQL,与phpMyAdmin类似。由于其轻量级的特性,只需一个...
Lanproxy任意文件读取漏洞复现(CVE-2021-3019)
黑白的博客
05-02 576
声明 好好学习,天天向上 漏洞描述 影响范围 复现过程 这里使用0.1版本 下载地址,复现只下载服务端版本即可,放在一个已经配置好java环境的linux的服务器中,proxy-server-0.1.zip https://file.nioee.com/d/2e81550ebdbd416c933f/ 执行 unzip proxy-server-0.1.zip mv proxy-server-0.1 /usr/local/ vim /usr/local/proxy-server-0.1/conf/confi
Lanproxy 路径遍历漏洞 (CVE-2021-3019)
thelostworld
01-11 816
Lanproxy 路径遍历漏洞 (CVE-2021-3019) 一、漏洞简介 Lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面等等)本次Lanproxy 路径遍历漏洞(CVE-2021-3019)通过../绕过读取任意文件。该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。 二、影响版本 lanproxy 0.1 三、漏洞...
Lanproxy 任意文件读取漏洞复现
zhabgbuneng的博客
05-25 295
漏洞名称 Lanproxy 任意文件读取漏洞复现 漏洞编号 CVE-2021-3019 漏洞描述 Lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面等等) 本次Lanproxy 路径遍历漏洞 (CVE-2021-3019)通过…/绕过读取任意文件。 该漏洞允许目录遍历读取/…/conf/config.properties来获取到内部网连接的凭据 影响版本 la..
局域网读取文件_Lanproxy 任意文件读取漏洞 (CVE20213019)复现
weixin_35703300的博客
01-14 209
漏洞概述Lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面等等)本次Lanproxy 路径遍历漏洞(CVE-2021-3019)通过../绕过读取任意文件。该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。影响版本la...
Lanproxy 目录遍历漏洞分析
afeng12345678的博客
07-06 501
文章中介绍了一些针对开源漏洞的分析技巧,并对目录遍历漏洞的原理进行了分析。漏洞分析文章为本人原创,转载请注明出处。
Lanproxy 任意文件读取漏洞 (CVE-2021-3019)
小赵同学的博客
03-03 441
漏洞概述 Lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面等等)本次Lanproxy 路径遍历漏洞 (CVE-2021-3019)通过…/绕过读取任意文件。该漏洞允许目录遍历读取/…/conf/config.properties来获取到内部网连接的凭据。 影响版本:lanproxy 0.1 环境搭建 https://file.nioee.com/d/2e81550ebdbd416c933
fastcgi文件读取漏洞之python扫描脚本
09-21
主要介绍了fastcgi文件读取漏洞之python扫描脚本,需要的朋友可以参考下
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245)
最新发布
12-25
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245),可以指定文件路径进行读取,并提供检测方案
jQuery-1.7.2任意文件读取漏洞验证利用脚本
04-27
jQuery是一个快速、简洁的JavaScript框架,丰富的Javascript代码库,在其1.7.2版本的sys_dia_data_down模块存在任意文件读取漏洞,攻击者可通过前台读取任意文件
nc57-任意文件读取漏洞补丁
06-08
【标题】"nc57-任意文件读取漏洞补丁" 涉及的是一个针对NC57软件的安全问题,该补丁旨在修复一个可能导致任意文件读取漏洞。在网络安全领域,这样的漏洞通常是非常严重的问题,因为它允许攻击者未经授权访问系统上...
eyoucms V1.0.4 后台任意文件读取漏洞1
08-03
漏洞简介:易优cms企业建站系统是由php+mysql开发的一套专门用于中小企业网站建设的开源cms。可以用来快速建设一个企业网站( PC,手机,微信都可以访问
Lanproxy路径遍历漏洞复现
qq_49091880的博客
10-08 1787
0x00 简介 Lanproxy是一种把局域网个人计算机、服务器代理到公共网络上的内网穿透工具,支持 tcp流量转发,可以支持任何 tcp高层协议,可做访问内网网站、本地支付接口调试、 ssh访问、远程桌面等,而且自带wen在线管理面板,添加端口配置十分简单。现在市场上提供类似服务的有花生壳、TeamView、GoToMyCloud等,但是第三方的公共网络服务器必须为第三方支付费用,而且这些服务存在种种限制,此外,由于数据包将通过第三方网络传输,因此对数据安全是一大威胁。 0x01 漏洞概述 Lanp
lanproxy 目录遍历漏洞(CVE-2020-3019)
神隐哥的博客
03-02 447
首先下源码https://github.com/ffay/lanproxy/releases/tag/v0.1 然后到src/main/java/org/fengfei/lanproxy/server/metrics/ProxyServerContainer启动服务 下个断点。冲 然而我对java还是不太熟。。没看懂入口。看危险函数确定的漏洞触发点 这里程序获取了Uri。然后直接拼接了路径。接下来又new了一个File对象 判断是否是目录。如果是目录就再new File一次 如果文件不存在就返回file
Lanproxy 路径遍历漏洞 (CVE-2021-3019)复现以及suricata检测
ranuy阮的博客
01-12 1402
0x01 Lanproxy简介 Lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面等等) 0x02 漏洞简介 本次Lanproxy 路径遍历漏洞 (CVE-2021-3019)通过…/绕过读取任意文件。该漏洞允许目录遍历读取/…/conf/config.properties来获取到内部网连接的凭据。 0x03 影响版本 lanproxy 0.1 0x04 环境搭建 (1)Lanproxy
shopxo download 任意文件读取漏洞
09-02
然而,它也存在一些安全漏洞,包括任意文件读取漏洞。这个漏洞可能会使攻击者能够读取服务器上的任意文件,包括敏感的配置文件和用户数据。 要利用shopxo download任意文件读取漏洞,攻击者通常会构造特定的URL请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

asdnaiol

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值