lanproxy漏洞复现
一、前言
lanproxy是一款内网穿透工具,
本次Lanproxy 路径遍历漏洞 (CVE-2021-3019)通过…/绕过读取任意文件。该漏洞允许目录遍历读
取/…/conf/config.properties内容
二、环境搭建
本次采用vulfocus平台,搜索CVE-2021-3019
启动环境
![在这里插入图片描述](https://img-blog.csdnimg.cn/331d8f6d9653463089f3bc40e5a79614.png
三、影响范围
Lanproxy 0.1
四、漏洞复现
打开http://123.58.224.8:15662/
执行payload:/…/conf/config.properties,发现失败,并且url变为:http://123.58.224.8:15662/conf/config.properties
我们burp抓包,手动在请求包里执行payload
执行成功,读取到账号密码。
五,缓解措施
升级到最新版本。