Lanproxy任意文件读取漏洞CVE-2021-3019的复现是怎么样的

本篇文章为大家免费云主机域名展示了Lanproxy任意文件读取漏洞CVE-2021-3019的复现是怎么样的，内容简明扼要并且容易理解，绝对能使你眼前一亮，通过这篇文章的详细介绍希望你能有所收获。lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具，支持tcp流量转发，可支持任何tcp上层协议（访问内网网站、本地支付接口调试、ssh访问、远程桌面…）。目前市面上提供类似服务的有花生壳、TeamView、GoToMyCloud等等，但要使用第三方的公网服务器就必须为第三方付费，并且这些服务都有各种各样的限制，此外，由于数据包会流经第三方，因此对数据安全也是一大隐患。Lanproxy1.0通过../绕过读取任意文件。该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。Lanproxy1.01.下载Lanproxy安装包，下载地址：https://file.nioee.com/d/2e81550ebdbd416c933f/2.解压后运动到/usr/local目录下mv proxy-server-0.1/ /usr/local/3.进入proxy-server-0.1 bin目录下给startup.sh加上执行权限，然后启动服务cd proxy-server-0.1/binchmod +x startup.sh./startup.sh4.在浏览器访问http://your-ip:8090，出现以下登录界面启动成功1.在登录页面，使用Burp抓包，并发送到Repeater（重放模块）2.在url构造以下链接读取配置文件/../conf/config.properties3.修改payload读取敏感文件../../../../etc/passwd1、目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://github.com/ffay/lanproxy/commits/master上述内容就是Lanproxy任意文件读取漏洞CVE-2021-3019的复现是怎么样的，你们学到知识或技能了吗？如果还想学到更多技能或者丰富自己的知识储备，欢迎关注云编程开发博客行业资讯频道。

相关推荐: XSS现代WAF规则探测及绕过技术是怎样的

XSS现代WAF规则探测及绕过技术是怎样的，相信很多没有经验的人对此束手无策，为此本文总结了问题出现的原因和解决方法，通过这篇文章希望你能解决这个问题。初始测试判断是否触发过滤规则，尝试使用大小写混合字符测试其他标签src属性iframeEmbedAction…