复现CVE-2021-3019(Lanproxy 目录遍历漏洞)

已于 2022-09-26 18:50:57 修改
阅读量691 收藏 2
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 文章标签: 安全
于 2022-09-25 18:30:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiaofengdada/article/details/127040903
本文详细介绍了CVE-2021-3019,一个针对Lanproxy的高危目录遍历漏洞。该漏洞允许攻击者通过../来读取任意文件,例如conf/config.properties,从而获取内部网连接的凭证。受影响的版本为Lanproxy 0.1。文章提供了漏洞复现的步骤,包括登录页面和POC代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

警告

请勿使用本文提到的内容违反法律
本文不提供任何担保

目录

警告

一、漏洞描述 

二、影响版本

三、漏洞复现 

一、漏洞描述 

        Lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面等等)本次Lanproxy 路径遍历漏洞 (CVE-2021-3019)通过../绕过读取任意文件。该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。

漏洞等级:高危

二、影响版本

  • Lanproxy 0.1
了解本专栏 订阅专栏 解锁全文 超级会员免费看
31-3 文件包含漏洞 - 文件包含漏洞利用(CVE-2021-3019Lanproxy 任意文件读取漏洞复现
weixin_43263566的博客
03-27 592
关于 Lanproxy: Lanproxy 是一款用于实现内网穿透的工具,可以将局域网中的个人电脑或服务器代理到公网上。它支持 TCP 流量转发,并且兼容各种 TCP 上层协议,比如访问内网网站、本地支付接口调试、SSH 访问和远程桌面等功能。
CVE-2021-3019Lanproxy 任意文件读取漏洞复现
ximo的博客
03-19 529
简介 lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,目前仅支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面…)。目前市面上提供类似服务的有花生壳、TeamViewer、GoToMyCloud等等,但要使用第三方的公网服务器就必须为第三方付费,并且这些服务都有各种各样的限制,此外,由于数据包会流经第三方,因此对数据安全也是一大隐患。 影响版本 lanproxy 0.1 漏洞概述 本次Lanproxy 路径遍历漏洞 (CVE-2021-
CVE-2021-3019 Lanproxy路径遍历漏洞复现
m0_56642842的博客
07-06 521
0x00 简介 Lanproxy是一种把局域网个人计算机、服务器代理到公共网络上的内网穿透工具,支持 tcp流量转发,可以支持任何 tcp高层协议,可做访问内网网站、本地支付接口调试、 ssh访问、远程桌面等,而且自带wen在线管理面板,添加端口配置十分简单。现在市场上提供类似服务的有花生壳、TeamView、GoToMyCloud等,但是第三方的公共网络服务器必须为第三方支付费用,而且这些服务存在种种限制,此外,由于数据包将通过第三方网络传输,因此对数据安全是一大威胁。 0x01 漏洞概述 Lanprox
lanproxy 目录遍历漏洞CVE-2020-3019
神隐哥的博客
03-02 528
首先下源码https://github.com/ffay/lanproxy/releases/tag/v0.1 然后到src/main/java/org/fengfei/lanproxy/server/metrics/ProxyServerContainer启动服务 下个断点。冲 然而我对java还是不太熟。。没看懂入口。看危险函数确定的漏洞触发点 这里程序获取了Uri。然后直接拼接了路径。接下来又new了一个File对象 判断是否是目录。如果是目录就再new File一次 如果文件不存在就返回file
Lanproxy 目录遍历漏洞分析
afeng12345678的博客
07-06 713
文章中介绍了一些针对开源漏洞的分析技巧,并对目录遍历漏洞的原理进行了分析。漏洞分析文章为本人原创,转载请注明出处。
CVE-2021-3019 Lanproxy 目录遍历漏洞复现
Majula
03-10 876
漏洞简介 Lanproxy 是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持 tcp 流量转发,可支持任何 tcp 上层协议(访问内网网站、本地支付接口调试、ssh 访问、远程桌面…)。目前市面上提供类似服务的有花生壳、TeamView、GoToMyCloud 等等,但要使用第三方的公网服务器就必须为第三方付费,并且这些服务都有各种各样的限制,此外,由于数据包会流经第三方,因此对数据安全也是一大隐患。 项目地址 通过说明我们知道 server 的配置文件放置在 conf 目录中,配置 confi
CVE-2021-3019
weixin_48300170的博客
07-19 574
CVE-2021-3019 Linux Lanproxy 任意文件读取漏洞复现漏洞简介漏洞信息环境搭建漏洞复现修复建议 漏洞简介       lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面…),该漏洞允许目录遍历读取/…/conf/config.properties来获取到内部网连接的凭据。 影响版本   
0x02 CVE-2021-3019Lanproxy 任意文件读取漏洞复现
weixin_43263566的博客
08-19 1048
这里我们就分享如何在fofa上搜索存在该漏洞的网站,并编写脚本验证漏洞是否存在。
Lanproxy路径遍历漏洞复现
qq_49091880的博客
10-08 1911
0x00 简介 Lanproxy是一种把局域网个人计算机、服务器代理到公共网络上的内网穿透工具,支持 tcp流量转发,可以支持任何 tcp高层协议,可做访问内网网站、本地支付接口调试、 ssh访问、远程桌面等,而且自带wen在线管理面板,添加端口配置十分简单。现在市场上提供类似服务的有花生壳、TeamView、GoToMyCloud等,但是第三方的公共网络服务器必须为第三方支付费用,而且这些服务存在种种限制,此外,由于数据包将通过第三方网络传输,因此对数据安全是一大威胁。 0x01 漏洞概述 Lanp
Lanproxy 路径遍历漏洞 (CVE-2021-3019)
thelostworld
01-11 951
Lanproxy 路径遍历漏洞 (CVE-2021-3019) 一、漏洞简介 Lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面等等)本次Lanproxy 路径遍历漏洞(CVE-2021-3019)通过../绕过读取任意文件。该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。 二、影响版本 lanproxy 0.1 三、漏洞...
Lanproxy 路径遍历漏洞 (CVE-2021-3019)复现以及suricata检测
ranuy阮的博客
01-12 1577
0x01 Lanproxy简介 Lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面等等) 0x02 漏洞简介 本次Lanproxy 路径遍历漏洞 (CVE-2021-3019)通过…/绕过读取任意文件。该漏洞允许目录遍历读取/…/conf/config.properties来获取到内部网连接的凭据。 0x03 影响版本 lanproxy 0.1 0x04 环境搭建 (1)Lanproxy
Lanproxy 任意文件读取漏洞 CVE-2021-3019复现
weixin_45682070的博客
02-04 631
概述 Lanproxy是⼀个将局域网个⼈电脑、服务器代理到公网的内网穿透⼯具,⽀持tcp流量转发, 可⽀持任何tcp上层协议(访问内网网站、本地⽀付接⼝调试、ssh访问、远程桌⾯等等)本次 Lanproxy 路径遍历漏洞 (CVE-2021-3019)通过../绕过读取任意⽂件。该漏洞允许⽬录遍历读 取/../conf/config.properties来获取到内部网连接的凭据。 影响版本:lanroxy 0.1 在fofa上搜寻lanproxy body="LanProxy.org" 刷新前台界面,
去中心化时代的通信革命:briefing与cpolar技术融合带来的安全范式革新
qq_62662919的博客
07-26 955
摘要:本文介绍如何在Linux Ubuntu系统使用Docker本地部署开源视频会议系统briefing,并通过cpolar内网穿透实现远程访问。briefing具有端到端加密、多因素认证等安全特性,支持高清视频通话和屏幕共享。Docker部署仅需一条命令即可完成,cpolar工具可创建公网地址实现异地访问。文章详细讲解了从Docker安装、briefing部署到cpolar配置的全过程,并提供了固定域名的方法,帮助用户无需公网IP即可搭建私有视频会议系统,兼顾安全性与便捷性。
安全漏洞】网络守门员:深入理解与应用iptables,守护Linux服务器安全
07-26 1152
Linux中iptables的深入理解与应用
【资讯】2025年软件行业发展趋势:AI驱动变革,云原生与安全成核心
weixin_56334307的博客
07-26 906
2025年的软件行业正经历AI驱动的生产力革命,云原生与安全成为企业核心竞争力,低代码重塑IT人才结构,开源生态在争议中探索新商业模式。拥抱技术变革并建立敏捷响应机制的企业,将在这场数字化转型浪潮中占据先机。
智能Agent场景实战指南 Day 23 : Agent安全与隐私保护
最新发布
在未来等你的专栏
07-29 339
智能Agent处理的数据通常包含用户个人信息、商业机密等敏感内容。安全漏洞可能导致数据泄露、模型被攻击等严重后果。保护用户隐私数据不被泄露防止模型被恶意输入攻击(如Prompt Injection)确保API调用的认证和授权安全满足GDPR等合规要求智能Agent安全防护的四个关键层面:数据、模型、API、隐私防Prompt注入的多种技术组合差分隐私在数据收集中的应用医疗等敏感行业的特殊处理要求。
飞行控制领军者 | 边界智控携高安全级飞控系统亮相2025深圳eVTOL展
Spey_Events的博客
07-25 854
目前,边界智控在团队、产品、技术、业务及融资等各方面均实现了业内领先。2025 深圳eVTOL展的举办,为全球eVTOL产业链搭建了高规格、国际化的交流合作平台,全面多维地彰显了参展企业的卓越实力与行业引领地位,更为推动 eVTOL产业向高质量、规范化、规模化方向发展提供了有力支撑,对引领低空经济未来发展具有重要意义。作为eVTOL飞行控制领域的核心赋能者,边界科技将借此国际平台,全面展示其在核心技术领域的最新突破,与全球业界同仁深入交流前沿理念,共同探讨飞控系统对于推动eVTOL产业发展的核心驱动作用。
多租户Kubernetes集群架构设计实践——隔离、安全与弹性扩缩容
qq_35716689的博客
07-27 840
深入探讨多租户Kubernetes集群的架构设计,涵盖命名空间隔离、网络安全策略、资源配额与弹性扩缩容实践,为企业级场景提供可落地方案。
【Rust并发集合】如何在多线程中并发安全地使用集合
景天科技苑
07-29 1281
集合类型是我们编程中常用的数据类型,Rust 中提供了一些集合类型,比如`Vec<T>`、`HashMap<K, V>`、`HashSet<T>`、`VecDeque<T>`、`LinkedList<T>`、`BTreeMap<K,V>`、`BTreeSet<T>` 等。 要实现线程安全的 Vec,可以使用 Arc(原子引用计数)和 Mutex(互斥锁)的组合。 Arc 允许多个线程共享拥有相同数据的所有权,而 Mutex 用于在访问数据时进行同步,确保只有一个线程能够修改数据。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaochuhe--kaishui

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值