[文件读取]lanproxy 文件读取 (CVE-2021-3019)

最新推荐文章于 2024-08-19 18:24:46 发布
最新推荐文章于 2024-08-19 18:24:46 发布
阅读量512 收藏
点赞数
分类专栏: 文件读取 漏洞库 文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wj33333/article/details/134408878
版权

1.1漏洞描述

漏洞编号CVE-2021-3019
漏洞类型文件读取
漏洞等级
漏洞环境VULFOCUS
攻击方式

描述: Lanproxy 路径遍历漏洞通过../绕过读取任意文件。该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。

1.2漏洞等级

高危

1.3影响版本

 Lanproxy

1.4漏洞复现

1.4.1.基础环境

靶场VULFOCUS
工具BurpSuite

1.4.2.前提

  • 网站后台地址:

  • 后台管理账密:

  • 后台登录地址 :

1.5深度利用

1.5.1漏洞点

/../conf/config.properties

查看内部网连接的凭据

查看/etc/passwd

../../../../../etc/passwd

查看tmp/flag

../../../../../tmp/flag

拿到flag

flag-{bmh909dda7b-bfc7-464d-97ee-0c81c36001b2}

 

1.6漏洞挖掘

1.6.1指纹信息

1.7修复建议

  • 升级

  • 打补丁

  • 上设备

wj33333
关注
专栏目录
31-3 文件包含漏洞 - 文件包含漏洞利用(CVE-2021-3019Lanproxy 任意文件读取漏洞复现)
weixin_43263566的博客
03-27 475
关于 Lanproxy: Lanproxy 是一款用于实现内网穿透的工具,可以将局域网中的个人电脑或服务器代理到公网上。它支持 TCP 流量转发,并且兼容各种 TCP 上层协议,比如访问内网网站、本地支付接口调试、SSH 访问和远程桌面等功能。
Lanproxy 路径遍历漏洞 (CVE-2021-3019)复现以及suricata检测
ranuy阮的博客
01-12 1442
0x01 Lanproxy简介 Lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面等等) 0x02 漏洞简介 本次Lanproxy 路径遍历漏洞 (CVE-2021-3019)通过…/绕过读取任意文件。该漏洞允许目录遍历读取/…/conf/config.properties来获取到内部网连接的凭据。 0x03 影响版本 lanproxy 0.1 0x04 环境搭建 (1)Lanproxy
Lanproxy任意文件读取漏洞复现:CVE-2021-3019
不想当脚本小子的脚本小子
01-20 419
lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,目前仅支持tcp流量转发,可支持任何tcp上层协议,可用作访问内网网站、本地支付接口调试、SSH访问、远程桌面等等,而且带Web在线管理面板,添加端口配置十分简单。 攻击者可通过../绕过读取任意文件。该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。 环境搭建: 下载服务端安装包:https://file.nioee.com/d/2e81550ebdbd416c933f/ .
Lanproxy 任意文件读取漏洞 (CVE-2021-3019)
小赵同学的博客
03-03 474
漏洞概述 Lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面等等)本次Lanproxy 路径遍历漏洞 (CVE-2021-3019)通过…/绕过读取任意文件。该漏洞允许目录遍历读取/…/conf/config.properties来获取到内部网连接的凭据。 影响版本:lanproxy 0.1 环境搭建 https://file.nioee.com/d/2e81550ebdbd416c933
Lanproxy任意文件读取(CVE-2021-3019)
m0_65150886的博客
01-31 296
Lanproxy 0.1存在路径遍历漏洞,该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。Lanproxy是ffay个人开发者的一个可将局域网内服务代理到公网的内网穿透工具。2.通过burp抓包,修改get请求,读取/etc/passwd。1.访问http://ip:port,出现如下页面,开始实验。
Lanproxy 路径遍历漏洞 (CVE-2021-3019)
thelostworld
01-11 855
Lanproxy 路径遍历漏洞 (CVE-2021-3019) 一、漏洞简介 Lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面等等)本次Lanproxy 路径遍历漏洞(CVE-2021-3019)通过../绕过读取任意文件。该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。 二、影响版本 lanproxy 0.1 三、漏洞...
CVE-2021-3019Lanproxy 任意文件读取漏洞复现】
ximo的博客
03-19 463
简介 lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,目前仅支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面…)。目前市面上提供类似服务的有花生壳、TeamViewer、GoToMyCloud等等,但要使用第三方的公网服务器就必须为第三方付费,并且这些服务都有各种各样的限制,此外,由于数据包会流经第三方,因此对数据安全也是一大隐患。 影响版本 lanproxy 0.1 漏洞概述 本次Lanproxy 路径遍历漏洞 (CVE-2021-
Lanproxy 任意文件读取漏洞 (CVE-2021-3019)复现
玄道的网安博客
01-11 1984
漏洞概述 Lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面等等)本次Lanproxy 路径遍历漏洞(CVE-2021-3019)通过../绕过读取任意文件。该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。 影响版本 lanproxy 0.1 环境搭建 下载proxy-server-0.1.zip 下载地址 ...
CVE-2021-3019
weixin_48300170的博客
07-19 493
CVE-2021-3019 Linux Lanproxy 任意文件读取漏洞复现漏洞简介漏洞信息环境搭建漏洞复现修复建议 漏洞简介       lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面…),该漏洞允许目录遍历读取/…/conf/config.properties来获取到内部网连接的凭据。 影响版本   
Lanproxy任意文件读取漏洞复现(CVE-2021-3019
黑白的博客
05-02 595
声明 好好学习,天天向上 漏洞描述 影响范围 复现过程 这里使用0.1版本 下载地址,复现只下载服务端版本即可,放在一个已经配置好java环境的linux的服务器中,proxy-server-0.1.zip https://file.nioee.com/d/2e81550ebdbd416c933f/ 执行 unzip proxy-server-0.1.zip mv proxy-server-0.1 /usr/local/ vim /usr/local/proxy-server-0.1/conf/confi
CVE-2021-3019 Lanproxy 任意文件读取漏洞【付POC】
weixin_47536169的博客
07-19 1014
Lanproxy简介: lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,目前仅支持tcp流量转发,可支持任何tcp上层协议(ssh访问、web服务器访问、远程桌面...)。 漏洞概述: 本次Lanproxy 路径遍历漏洞 (CVE-2021-3019)通过…/绕过读取任意文件。该漏洞允许目录遍历读取/…/conf/config.properties来获取到内部网连接的凭据。 环境搭建: Kali64位 Lanproxy burpsui...
CVE-2021-3019 Lanproxy路径遍历漏洞复现
m0_56642842的博客
07-06 475
0x00 简介 Lanproxy是一种把局域网个人计算机、服务器代理到公共网络上的内网穿透工具,支持 tcp流量转发,可以支持任何 tcp高层协议,可做访问内网网站、本地支付接口调试、 ssh访问、远程桌面等,而且自带wen在线管理面板,添加端口配置十分简单。现在市场上提供类似服务的有花生壳、TeamView、GoToMyCloud等,但是第三方的公共网络服务器必须为第三方支付费用,而且这些服务存在种种限制,此外,由于数据包将通过第三方网络传输,因此对数据安全是一大威胁。 0x01 漏洞概述 Lanprox
CVE-2021-3019 Lanproxy 目录遍历漏洞复现
Majula
03-10 776
漏洞简介 Lanproxy 是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持 tcp 流量转发,可支持任何 tcp 上层协议(访问内网网站、本地支付接口调试、ssh 访问、远程桌面…)。目前市面上提供类似服务的有花生壳、TeamView、GoToMyCloud 等等,但要使用第三方的公网服务器就必须为第三方付费,并且这些服务都有各种各样的限制,此外,由于数据包会流经第三方,因此对数据安全也是一大隐患。 项目地址 通过说明我们知道 server 的配置文件放置在 conf 目录中,配置 confi
Lanproxy 任意文件读取漏洞 CVE-2021-3019复现
weixin_45682070的博客
02-04 504
概述 Lanproxy是⼀个将局域网个⼈电脑、服务器代理到公网的内网穿透⼯具,⽀持tcp流量转发, 可⽀持任何tcp上层协议(访问内网网站、本地⽀付接⼝调试、ssh访问、远程桌⾯等等)本次 Lanproxy 路径遍历漏洞 (CVE-2021-3019)通过../绕过读取任意⽂件。该漏洞允许⽬录遍历读 取/../conf/config.properties来获取到内部网连接的凭据。 影响版本:lanroxy 0.1 在fofa上搜寻lanproxy body="LanProxy.org" 刷新前台界面,
0x02 CVE-2021-3019Lanproxy 任意文件读取漏洞复现
最新发布
weixin_43263566的博客
08-19 870
这里我们就分享如何在fofa上搜索存在该漏洞的网站,并编写脚本验证漏洞是否存在。
lanproxy文件读取漏洞复现
花开烟雨楼的博客
03-23 351
lanproxy是一款内网穿透工具,本次Lanproxy 路径遍历漏洞 (CVE-2021-3019)通过…/绕过读取任意文件。该漏洞允许目录遍历读取/…/conf/config.properties内容。
lanproxy 目录遍历漏洞(CVE-2020-3019
糖小喵
02-20 367
前言 lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面...)。目前市面上提供类似服务的有花生壳、TeamView、GoToMyCloud等等,但要使用第三方的公网服务器就必须为第三方付费,并且这些服务都有各种各样的限制,此外,由于数据包会流经第三方,因此对数据安全也是一大隐患。互联网上披露 CVE-2020-3019 lanproxy 目录遍历漏洞以及漏洞利用POC。攻击者构造恶意请
CVE-2021-45105/CVE-2021-44228
07-29
CVE-2021-45105和CVE-2021-44228是两个与Apache HTTP Server(Apache Web服务器)相关的漏洞编号。这些漏洞可能会影响Apache HTTP Server的安全性。CVE-2021-45105是一个路径遍历漏洞,攻击者可以利用它来读取服务器上受限制的文件CVE-2021-44228是一个HTTP请求解析漏洞,攻击者可以通过发送恶意的请求导致服务器崩溃或远程代码执行。 为了保护系统安全,建议及时升级Apache HTTP Server到最新版本,并遵循相关安全建议和最佳实践。如果你是系统管理员或开发人员,可以查看Apache官方发布的安全公告,获取更详细的信息和修复方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值