感谢大家的关注与支持 送两0DAY吧

admin 2025年6月8日14:17:17评论11 views字数 948阅读3分9秒阅读模式
0x01 前言
前几天随手写的一篇文章,没想到还小爆了一下,给我涨了几百粉丝,哎。。。
没啥东西可以送给大家,就送两小day吧,也是顺手挖的,互联网找了一下没有公开,暴露在互联网的资产基本都可以打,本来寻思交某天通用,没想到已经有人交过了。那就送给大家玩吧
感谢大家的关注与支持 送两0DAY吧
0x02 挖掘过程
这套源码在我的电脑里存了至少两年了,也懒得去看,最近黑盒挖洞实在是挖不到,也有可能是懒得挖了,就寻思审计审计,就拿它练手了
Java的站,又是用Servlet又是Struts2又是spring的
解压完还是先看web.xml文件,我的习惯一般都是先看鉴权和路由
感谢大家的关注与支持 送两0DAY吧
这个Filtre基本上就到位了,匹配到*.action *.jsp *.htm /workBench/*都要走这个逻辑,但是有个很大的问题就是没有匹配/Servlet路径
先看未授权的情况,对这个文件中的servlet挨着看过去,倒是有不少洞,搜了一下基本上都公开了
不过找到一个叫WebBill的Servlet,跟进去看了一下
简单来说这个Servlet类用来处理前端发起的各种 HTTP 请求。它的作用类似一个“控制器”,根据请求参数(key)来分发功能
这其中有个GetFileContent

当 key=GetFileContent 时,Servlet 中会执行以下这段逻辑:

感谢大家的关注与支持 送两0DAY吧
关于这两个参数,在这里定义
感谢大家的关注与支持 送两0DAY吧

realPath 是 Web 应用的根目录在服务器文件系统上的绝对路径

sFileName 是请求参数 pathfile,用于指定读取的文件路径

当 key=GetFileContent 时,服务器将尝试读取前端传入 pathfile 参数指定的文件,并将其内容返回

所以构造攻击的poc 尝试读取一下web.xml文件

http://127.0.0.1/jc6/servlet/WebBill?key=GetFileContent&pathfile=/../WEB-INF/web.xml

效果如下

感谢大家的关注与支持 送两0DAY吧

另一处也是相同的,在这里就不分析了,直接把poc给出吧

/jc6/servlet/PathFile?GetUrl

 

攻击效果如下

感谢大家的关注与支持 送两0DAY吧

 

资产测绘语法
app="金和网络-金和OA" || body="/jc6/platform/sys/login"

原文始发于微信公众号(LK安全):感谢大家的关注与支持 送两0DAY吧

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月8日14:17:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   感谢大家的关注与支持 送两0DAY吧https://cn-sec.com/archives/4146401.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息