lanproxy 目录遍历漏洞(CVE-2020-3019)

lanproxy是一款用于将局域网设备代理到公网的工具,支持多种TCP协议,但存在CVE-2020-3019目录遍历漏洞,允许攻击者获取配置文件并侵入内网。与花生壳、TeamViewer等同类服务相比,lanproxy的数据安全问题更为突出。本文将探讨该漏洞的复现、分析及潜在影响。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面...)。目前市面上提供类似服务的有花生壳、TeamView、GoToMyCloud等等,但要使用第三方的公网服务器就必须为第三方付费,并且这些服务都有各种各样的限制,此外,由于数据包会流经第三方,因此对数据安全也是一大隐患。互联网上披露 CVE-2020-3019 lanproxy 目录遍历漏洞以及漏洞利用POC。攻击者构造恶意请求,可直接获取到lanproxy配置文件,从而登录lanproxy管理后台进入内网。

漏洞复现

fofa指纹:header= "Server: LPS-0.1"

poc:

 

漏洞分析

 

 

参考链接

https://github.com/ffay/lanproxy

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值