【技术干货】CVE-2021-3019 Lanproxy 目录遍历漏洞
2022-10-27 11:48:45 Author: 星阑实验室(查看原文) 阅读量:10 收藏

李安
@PortalLab实验室

漏洞描述

Lanproxy 0.1 存在路径遍历漏洞,该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。

Lanproxy

lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面...)

漏洞版本

Lanproxy 0.1

修复前:

修复补丁:https://github.com/ffay/lanproxy/commit/7787a143f9abf31ada4588e11741c92f0e145240

修复方式:如果在路径中检测到../ ,直接返回 Forbidden。

漏洞成因:对用户输入的路径、没有进行过滤、攻击者可以使用该漏洞去访问任意文件。

环境搭建

漏洞复现

拉取源码

git clone https://github.com/ffay/lanproxy.git

回退到漏洞修复之前

cd lanproxy/

git reset --hard f768adb1fca4dbcb83c16778d9f3407bb8b2f524

maven编译项目

mvn package

项目编译完成后、会在项目根目录下创建distribution目录、包含服务端、客户端。

config.properties

漏洞测试
1、运行启动命令:
sh distribution/proxy-server-0.1/bin/startup.sh
2、访问http://127.0.0.1:8090端口、出现如下界面、环境启动成功:

3、测试Payload:/%2F..%2F/conf/config.properties

在使用Payload后、获取到config.properties 配置文件。该文件中包含:管理页面用户名、密码、以及ssl相关配置。

漏洞分析
开启debug模式
Lanproxy 的启动脚本 distribution/proxy-server-0.1/bin/startup.sh 、 debug 参数可以开启调试模式。调试端口为8000。

sh distribution/proxy-server-0.1/bin/startup.sh debug
IDEA 配置
动态调试
将断点打到 src/main/java/org/fengfei/lanproxy/server/config/web/HttpRequestHandler.java#outputPages,先通过URI实例,获取到uriPath(请求路径):/%2F..%2Fconf%2Fconfig.properties

接下来,会判断该路径是否为/,是/返回 index.html,否则返回获取到的uriPath。

PAGE_FOLDER 是获取当前程序所在的目录。

紧接着、会拼接PAGE_FOLDER与uriPath。

然后、生成一个新的File实例,rfile,然后判读是否是目录、还会检查该文件是否存在。

最后,使用 RandomAccessFile() 去读取文件。到这一步,已经可以读取到 config.properties 文件。

修复建议

安装最新Lanproxy版本,可以通过源码或者最新的安装包进行更新。
源码:https://github.com/ffay/lanproxy

安装包:https://file.nioee.com/d/2e81550ebdbd416c933f/

关于Portal Lab

星阑科技 Portal Lab 致力于前沿安全技术研究及能力工具化。主要研究方向为API 安全、应用安全、攻防对抗等领域。实验室成员研究成果曾发表于BlackHat、HITB、BlueHat、KCon、XCon等国内外知名安全会议,并多次发布开源安全工具。未来,Portal Lab将继续以开放创新的态度积极投入各类安全技术研究,持续为安全社区及企业级客户提供高质量技术输出。


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3NDcwMDk3OA==&mid=2247484240&idx=1&sn=e089e5f23da48f7da404d930a80215f6&chksm=cecd8a8df9ba039bdd61ac0755a806458e71ca1f313207989a3ca5f2a06c44ae5ebd8934f2ae#rd
如有侵权请联系:admin#unsafe.sh