感谢大家的关注与支持送两0DAY吧

2025年6月8日14:17:17评论11 views字数 948阅读3分9秒阅读模式

0x01 前言

前几天随手写的一篇文章，没想到还小爆了一下，给我涨了几百粉丝，哎。。。

没啥东西可以送给大家，就送两小day吧，也是顺手挖的，互联网找了一下没有公开，暴露在互联网的资产基本都可以打，本来寻思交某天通用，没想到已经有人交过了。那就送给大家玩吧

0x02 挖掘过程

这套源码在我的电脑里存了至少两年了，也懒得去看，最近黑盒挖洞实在是挖不到，也有可能是懒得挖了，就寻思审计审计，就拿它练手了

Java的站，又是用Servlet又是Struts2又是spring的

解压完还是先看web.xml文件，我的习惯一般都是先看鉴权和路由

这个Filtre基本上就到位了，匹配到*.action *.jsp *.htm /workBench/*都要走这个逻辑，但是有个很大的问题就是没有匹配/Servlet路径

先看未授权的情况，对这个文件中的servlet挨着看过去，倒是有不少洞，搜了一下基本上都公开了

不过找到一个叫WebBill的Servlet，跟进去看了一下

简单来说这个Servlet类用来处理前端发起的各种 HTTP 请求。它的作用类似一个“控制器”，根据请求参数（key）来分发功能

这其中有个GetFileContent

当 key=GetFileContent 时，Servlet 中会执行以下这段逻辑：

关于这两个参数，在这里定义

realPath 是 Web 应用的根目录在服务器文件系统上的绝对路径

sFileName 是请求参数 pathfile，用于指定读取的文件路径

当 key=GetFileContent 时，服务器将尝试读取前端传入 pathfile 参数指定的文件，并将其内容返回

所以构造攻击的poc 尝试读取一下web.xml文件

http://127.0.0.1/jc6/servlet/WebBill?key=GetFileContent&pathfile=/../WEB-INF/web.xml

效果如下

另一处也是相同的，在这里就不分析了，直接把poc给出吧

/jc6/servlet/PathFile?GetUrl

攻击效果如下

资产测绘语法

app="金和网络-金和OA" || body="/jc6/platform/sys/login"

原文始发于微信公众号（LK安全）：感谢大家的关注与支持送两0DAY吧

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

锐捷EWEB路由器 timeout.php 任意文件上传漏洞