企业级Java Web应用路径遍历漏洞复现与防护实践

1. 项目概述：一次典型的企业级应用安全漏洞复现之旅

最近在梳理企业应用安全审计的案例库，金蝶EAS系统的一个历史文件读取漏洞（编号13）引起了我的注意。这个漏洞本身并不复杂，但它的出现和利用场景非常典型，几乎涵盖了企业级Java Web应用安全测试中“信息收集”和“初步渗透”阶段的所有关键动作。对于从事企业安全服务、渗透测试或者想了解大型商业软件安全风险的朋友来说，复现和分析这类漏洞，其价值远不止于拿到一个“漏洞证明”。它更像是一次解剖麻雀的过程，能让你深刻理解一个庞大、复杂的商业系统是如何在细微之处“失守”的，以及攻击者是如何利用这些缝隙，一步步撬开企业核心数据大门的。

简单来说，这个漏洞允许攻击者在未授权或低权限的情况下，通过构造特定的HTTP请求，读取金蝶EAS服务器上的任意文件。别小看“读取文件”这四个字，在实战中，它往往是打开潘多拉魔盒的第一把钥匙。通过读取配置文件，攻击者可以获取数据库连接字符串、加密密钥、内部接口地址；通过读取日志文件，可以分析系统运行状态、寻找其他漏洞线索；甚至能读取到包含敏感信息的业务文件。今天，我就带大家完整地走一遍这个漏洞的复现、分析与思考过程，不仅会给出可操作的复现步骤，更重要的是拆解背后的原理、分享在复现过程中容易踩的坑，以及从这个漏洞延伸出去的企业安全防护思路。

2. 漏洞原理与影响范围深度解析

2.1 漏洞核心：路径遍历与未授权访问的“组合拳”

这个漏洞的本质，是Web应用程序中经典的“路径遍历”（Path Traversal）或“目录穿越”漏洞，在金蝶EAS系统的某个特定接口或功能点上未得到有效控制。用大白话讲，就是系统提供了一个“读取文件”的功能，比如用来加载某个模板、查看某个日志，但在处理用户传入的“文件名”参数时，没有进行严格的过滤和校验。

攻击者可以在这个参数中注入“../”这样的目录跳转符。在Unix/Linux系统中，“../”代表上一级目录；在Windows系统中，也可以用“..\”实现类似效果。当程序拼接用户输入的参数和基础路径时，如果未做净化，就可能形成类似/app/webroot/../../etc/passwd这样的最终路径。经过系统解析，/webroot/../会抵消，路径就变成了/app/etc/passwd，从而成功跳出了程序设定的安全目录范围，访问到系统上的任意文件。

在金蝶EAS这个具体案例中，问题通常出现在一些用于文件下载、图片预览、日志查看的Servlet、JSP页面或WebService接口上。这些功能本意是好的，是为了方便用户或管理员，但因为对输入参数（如fileName、filePath、path等）的信任度过高，缺乏足够的合法性校验（如检查是否包含“..”跳转符、是否以预期扩展名结尾、是否在白名单目录内），导致了漏洞的产生。

2.2 影响范围：不止于数据泄露

理解这个漏洞的影响，不能只停留在“能读文件”本身。我们需要从攻击链的角度来评估：

1. 敏感信息泄露：这是最直接的危害。攻击者可以读取WEB-INF/web.xml文件，分析应用结构；读取/WEB-INF/classes/目录下的配置文件（如jdbc.properties），直接获取数据库的IP、端口、用户名和密码（尽管密码可能是加密的，但为后续破解提供了可能）；读取系统日志，寻找错误信息中暴露的敏感数据或其他漏洞线索。

2. 权限提升的跳板：获取的数据库密码可能被用于直接连接后台数据库，进行更深入的数据窃取或篡改。读取到的系统配置文件可能包含其他中间件、SSO系统的配置信息，为横向移动打开突破口。

3. 应用逻辑漏洞的探针：通过读取Java类文件（.class）或配置文件，攻击者可以反编译或分析应用的业务逻辑，寻找更隐蔽的逻辑漏洞，比如业务流程绕过、权限校验缺陷等。

4. 对金蝶EAS特定版本的影响：该漏洞通常影响金蝶EAS的某些历史版本。由于EAS系统广泛应用于大型集团企业，涉及财务、供应链、人力资源等核心模块，一旦被利用，可能导致企业核心财务数据、员工信息、客户资料等严重泄露，造成重大的商业损失和法律风险。

注意：本文所有复现和讨论均在合法授权的测试环境或专为安全研究搭建的隔离环境中进行。任何未经授权的测试行为都是非法的，务必遵守法律法规。

3. 复现环境搭建与核心工具准备

3.1 靶场环境构建思路

要复现一个历史漏洞，第一步就是搭建一个与之匹配的环境。对于金蝶EAS这样的商业软件，我们通常有几个选择：

1. 官方历史版本安装包：如果可能，寻找漏洞影响版本的金蝶EAS安装包。这通常是最佳复现环境，但商业软件的旧版本安装包不易公开获取。
2. 漏洞环境集成靶场：感谢安全社区，一些常见的漏洞已经被集成到诸如Vulhub、VulApps等开源漏洞靶场项目中。我们可以直接使用Docker一键搭建，这是最方便、最安全的研究方式。
3. 从已公开的漏洞详情中逆向：如果以上都没有，就需要根据漏洞披露中的细节（如受影响的URL、参数、版本号），去尝试搭建一个近似环境，或者直接分析漏洞原理。

本次复现，我们假设采用第二种最便捷的方式。你需要准备以下基础环境：

• 一台测试用服务器或PC：配置无需太高，4核CPU、8GB内存、50GB硬盘足够。操作系统推荐Ubuntu 20.04/22.04 LTS或CentOS 7/8。
• Docker与Docker Compose：这是运行漏洞靶场的关键。Docker负责容器化运行应用，Docker Compose用于编排多容器服务。

  # 在Ubuntu上安装Docker sudo apt-get update sudo apt-get install docker.io docker-compose -y # 启动Docker服务并设置开机自启 sudo systemctl start docker sudo systemctl enable docker # 将当前用户加入docker组，避免每次使用sudo sudo usermod -aG docker $USER # 退出终端重新登录使组生效

• 靶场项目：从GitHub等平台获取包含金蝶EAS漏洞的靶场项目。例如，你可能需要搜索类似“kingdee-eas-vuln”或“vulhub kingdee”的关键词。

3.2 核心测试工具链

工欲善其事，必先利其器。除了环境，我们还需要一套趁手的测试工具。

1. 浏览器与开发者工具：任何现代浏览器（Chrome/Firefox）都是基础。开发者工具（F12）中的“网络”（Network）选项卡至关重要，用于捕获和分析HTTP请求与响应。
2. Burp Suite：Web安全测试的“瑞士军刀”。社区版足以完成本次复现。它用于拦截、重放、修改HTTP请求，是构造漏洞利用Payload的核心工具。
   • 使用要点：配置浏览器代理（通常为127.0.0.1:8080），并安装Burp签发的CA证书，以便拦截HTTPS流量。在复现时，我们主要使用Proxy（代理）和Repeater（重放器）模块。
3. cURL：命令行下的HTTP客户端，用于快速发送请求、验证漏洞。它的优势在于可以轻松集成到脚本中。

   # 一个简单的cURL示例，用于测试一个GET请求 curl -v "http://target-ip:port/path?fileName=../../../../etc/passwd"

4. 目录扫描工具：如dirsearch、gobuster或ffuf。用于辅助发现可能存在漏洞的接口路径。因为漏洞可能存在于不为人知的端点。

   # 使用dirsearch进行简单目录扫描 python3 dirsearch.py -u http://target-ip:port -e jsp,do,action

3.3 环境启动与初步识别

假设我们已经从Vulhub项目中找到了对应的环境/vulhub/kingdee/eas-file-read-13。

# 进入靶场目录 cd /path/to/vulhub/kingdee/eas-file-read-13 # 使用docker-compose启动环境 docker-compose up -d # 查看容器运行状态 docker-compose ps

环境启动后，通常可以通过http://your-test-ip:8080访问到金蝶EAS的登录界面或默认页面。我们的第一步不是盲目测试，而是观察：

• 页面特征：确认是金蝶EAS系统。
• 尝试默认弱口令（如admin/admin）登录（仅限授权测试环境），有时拥有一个低权限账户能帮助发现更多接口。
• 使用浏览器开发者工具，查看页面加载了哪些JS、CSS、API接口，留意任何与“file”、“download”、“image”、“load”、“resource”等关键词相关的请求。

4. 漏洞复现实操与利用过程详解

4.1 漏洞接口的发现与定位

根据历史漏洞披露的信息，此类文件读取漏洞常出现在以下类型的接口中：

• 文件下载接口：如/portal/fileDownload.do、/appmonitor/protected/selector/download.do等。
• 图片/附件查看接口：如/image、/attachment、/showImage等Servlet。
• 报表或文档预览接口：如/report/、/document/下的某些功能。
• 日志查看功能：一些管理端的日志查看页面。

在本次复现中，我们假设漏洞存在于一个名为/portal/commonauth/fileDownload.jsp的接口（此为示例路径，实际路径需根据靶场或情报确定）。这个接口可能接收一个path或fileName参数来指定要下载的文件。

第一步：使用Burp Suite拦截请求

1. 打开Burp Suite，确保代理监听开启。
2. 浏览器配置好代理，访问靶场环境，进行任意一次需要触发文件下载的操作（如果有的话），或者直接尝试访问可疑的URL。
3. 在Burp的Proxy -> Intercept标签页，你会看到拦截到的HTTP请求。

第二步：定位与修改参数假设我们拦截到一个如下请求：

GET /portal/commonauth/fileDownload.jsp?fileName=default_style.css HTTP/1.1 Host: target-ip:8080 User-Agent: Mozilla/5.0...

这个请求看起来是在下载一个名为default_style.css的样式表。fileName参数很可能就是存在漏洞的参数。

4.2 构造并发送恶意Payload

我们将请求发送到Burp的Repeater模块，以便反复修改和测试。

基础Payload测试： 在Repeater中，我们将fileName参数的值修改为经典的路径遍历Payload，尝试读取系统根目录下的/etc/passwd文件（Linux系统）或C:\windows\win.ini文件（Windows系统，需注意路径分隔符）。

• Linux环境Payload:

  fileName=../../../../../../etc/passwd

  • 为什么是多个../？因为我们需要从Web应用的工作目录（如/usr/local/tomcat/webapps/ROOT）回溯到根目录。多写几个是为了确保能“跳”出去，这是一个经验性的尝试。

• Windows环境Payload(如果靶场是Windows)：

  fileName=..\..\..\..\..\..\windows\win.ini

  • 注意：Java应用在Windows上运行时，有时仍能识别“/”作为路径分隔符，因此../../../../windows/win.ini也可能生效。..\是Windows原生格式。

发送请求并观察响应： 点击“Send”按钮。重点关注响应状态码和响应体。

• 成功迹象：状态码为200 OK，响应体内容显示为/etc/passwd文件的内容（包含root:x:0:0...等用户信息）或win.ini的内容。响应头中的Content-Type可能为text/plain或保持不变。
• 失败迹象：状态码可能是404（未找到）、403（禁止访问）、500（服务器内部错误）。响应体可能包含错误信息，如“文件不存在”、“路径非法”等。这需要进一步分析。

4.3 进阶利用：读取Web应用配置文件

读取系统文件证明了漏洞存在，但对我们理解应用和进一步利用更有价值的是读取Web应用自身的配置文件。

关键目标文件：

1. WEB-INF/web.xml：这是Java Web应用的核心部署描述文件。它可能暴露Servlet映射、过滤器、上下文参数，是分析应用结构的“地图”。

   • Payload尝试：由于WEB-INF目录受容器保护，无法通过Web直接访问。我们需要利用路径遍历，从其他可访问目录“跳”进去。通常，漏洞JSP文件本身可能就在某个子目录下。我们可以尝试：

     fileName=../../WEB-INF/web.xml

     或者结合已知路径进行更多层级的跳转。

2. 数据库配置文件：通常位于WEB-INF/classes/目录下，文件名可能是jdbc.properties、application.properties、config.properties等。

   • Payload尝试：

     fileName=../../WEB-INF/classes/jdbc.properties

   • 价值：该文件极有可能明文或加密存储着数据库的连接字符串、用户名和密码。这是通往核心数据库的钥匙。

3. Java类文件（.class）：虽然读出来是二进制，但可以保存后使用反编译工具（如JD-GUI、CFR）进行分析，寻找业务逻辑漏洞。

实操示例： 在Repeater中，我们修改Payload为fileName=../../WEB-INF/web.xml并发送。

• 如果成功，响应内容将是XML格式的配置文件文本。我们可以从中搜索<servlet>、<filter>、<context-param>等标签，寻找其他可能有用的接口或配置项。
• 如果返回404或空，可能是路径计算不对。我们需要调整../的数量。一个技巧是：先尝试读取一个已知存在的Web资源，比如fileName=./images/logo.png，确认基础路径。然后基于此计算到WEB-INF的相对路径。

4.4 编码与绕过技巧

有时，应用程序会进行简单的防御，比如过滤了../字符串。这时就需要一些绕过技巧。

1. URL编码：将特殊字符进行URL编码。

   • ../可以编码为%2e%2e%2f或..%2f
   • ..\可以编码为%2e%2e%5c
   • 在Burp Repeater中，你可以直接输入编码后的字符，或者使用Burp的“Ctrl+U”快捷键对选中部分进行URL编码。

2. 双重编码：如果应用解码了一次，可以尝试双重编码。

   • %2e%2e%2f再次编码后变成%252e%252e%252f（%被编码为%25）。

3. 使用绝对路径：极少数情况下，程序可能直接拼接用户输入和基础路径，如果校验不严，直接输入绝对路径也可能成功。

   • fileName=/etc/passwd(Linux)
   • fileName=C:\windows\win.ini(Windows)注意：在HTTP参数中，\有时需要转义或编码。

4. 空字节截断：这是一个较老的技巧，在某些特定场景下（如Java旧版本、某些文件处理函数），在文件名后添加空字节（%00）可以截断后续的扩展名校验。

   • fileName=../../../etc/passwd%00.jpg
   • 这试图欺骗程序，让它以为请求的是一个.jpg文件，但系统在读取时遇到%00就停止了，最终读取的是/etc/passwd。

实操心得：在测试时，我习惯在Burp中建立一个“Payload列表”，包含各种常见的路径遍历变形（编码、双重编码、绝对路径、空字节等），然后使用Burp的Intruder模块进行模糊测试，效率会高很多。但手动在Repeater中逐个尝试，对于理解漏洞原理更有帮助。

5. 漏洞根因分析与安全开发启示

5.1 为什么会出现这个漏洞？

从开发角度看，这个漏洞的产生几乎是“教科书式”的安全失误：

1. 过度信任用户输入：开发者默认用户只会传入一个预期的、相对路径的文件名，如default_style.css或2024_report.pdf，没有对输入做“不信任”处理。
2. 错误的路径拼接方式：直接使用字符串拼接来生成最终文件路径，例如：

   // 危险示例！ String basePath = "/opt/eas/webapps/portal/"; String userFileName = request.getParameter("fileName"); String fullPath = basePath + userFileName; // 如果userFileName是../../../etc/passwd，就完了 File file = new File(fullPath);

3. 缺乏规范化与校验：没有对拼接后的路径进行“规范化”（canonicalize），并检查其是否仍在预期的安全目录（如Web应用的静态资源目录）内。Java中可以使用File.getCanonicalPath()方法获取标准路径，然后检查这个标准路径是否以安全目录的路径开头。
4. 缺失最小权限原则：运行Web服务的操作系统账户权限过高，导致Web进程可以读取系统关键文件。

5.2 如何修复？给开发者的安全建议

修复此类漏洞，核心原则是“白名单校验”和“路径隔离”。

1. 白名单机制：如果业务上只允许下载固定的一些文件，最好的方式是维护一个允许的文件名或文件ID的白名单。用户传入参数（如文件ID），后端根据ID映射到真实的、安全的文件路径。

   Map<String, String> fileWhitelist = new HashMap<>(); fileWhitelist.put("style1", "/safe/path/default_style.css"); fileWhitelist.put("report1", "/safe/path/template.pdf"); String fileId = request.getParameter("fileId"); String safeFilePath = fileWhitelist.get(fileId); if (safeFilePath == null) { // 返回错误，请求的文件不在允许范围内 return; } File file = new File(safeFilePath);

2. 安全路径拼接与校验：如果必须允许一定动态性，必须进行严格校验。

   String baseDir = "/opt/eas/webapps/portal/uploads/"; // 安全的基础目录 String userFileName = request.getParameter("fileName"); // 1. 过滤目录跳转符 if (userFileName.contains("..") || userFileName.contains("\\")) { throw new SecurityException("Invalid file name"); } // 2. 拼接路径 File potentialFile = new File(baseDir, userFileName); // 3. 获取规范化路径并检查是否逃逸 String canonicalPath = potentialFile.getCanonicalPath(); if (!canonicalPath.startsWith(new File(baseDir).getCanonicalPath())) { // 试图跳出安全目录！ throw new SecurityException("Access denied"); } // 4. 确认文件存在且是普通文件（非符号链接等） if (!potentialFile.isFile()) { throw new FileNotFoundException(); }

3. 运行权限降级：确保运行Tomcat/JBoss等应用服务器的操作系统账户是一个专用、低权限的账户（如www-data、tomcat），避免使用root。

4. 输入输出编码：在将文件内容输出到HTTP响应时，确保设置正确的Content-Disposition头，避免文件内容在浏览器中被当作HTML执行导致XSS等二次漏洞。

6. 复现过程中的常见问题与排查实录

即使按照步骤操作，复现过程也可能遇到各种问题。这里记录几个我踩过的坑和解决方法。

6.1 问题一：发送Payload后返回404或空白页

• 可能原因1：路径计算错误。../的数量不够，没能跳出Web应用的根目录。
  • 排查：尝试增加或减少../的数量。可以先尝试读取一个已知存在的Web文件（如fileName=./index.jsp），确认当前工作目录，再计算到目标文件的相对路径。
• 可能原因2：目标文件不存在或权限不足。Web进程用户没有读取/etc/passwd等系统文件的权限（在良好的系统配置下应如此）。
  • 排查：尝试读取一个肯定存在且有读权限的文件，比如Web应用自身的WEB-INF/web.xml或一个图片文件。如果这些能读，但系统文件不能读，说明权限控制起了部分作用，但这不意味着漏洞不存在，只是危害范围被缩小了。
• 可能原因3：漏洞接口路径不对。你测试的URL可能不是存在漏洞的那个端点。
  • 排查：回顾漏洞披露信息，检查URL路径是否正确。使用目录扫描工具（如dirsearch）扫描/portal/、/appmonitor/等常见路径下的.jsp、.do、.action文件，寻找其他可能的文件下载接口。

6.2 问题二：返回错误提示“路径非法”或“文件不存在”

• 可能原因：应用程序进行了初步过滤。后端代码可能检测到参数中包含..或/等字符，直接返回了错误。
  • 排查：尝试使用编码绕过。在Burp中，选中../，按Ctrl+U进行URL编码，将../变为%2e%2e%2f再发送。也可以尝试双重编码、使用..\（Windows路径分隔符）等。

6.3 问题三：响应内容乱码或文件被下载而非显示

• 可能原因1：字符编码问题。读取的配置文件或二进制文件在HTTP响应中编码不一致。
  • 排查：在Burp的响应窗口中，尝试切换不同的解码视图（如“HTML”、“Hex”）。对于文本文件，确保浏览器或Burp使用了正确的字符集（如UTF-8）进行渲染。
• 可能原因2：服务器设置了强制下载头。接口可能设置了Content-Disposition: attachment，导致浏览器直接下载文件。
  • 排查：这并不影响漏洞利用。你可以在Burp的响应中直接查看原始内容，或者将响应体（Response body）保存为文件，然后用文本编辑器打开查看。

6.4 问题四：Docker靶场环境无法启动或访问

• 可能原因1：端口冲突。靶场默认使用的端口（如8080）已被本机其他程序占用。
  • 排查：使用netstat -tulnp | grep 8080查看端口占用情况。修改docker-compose.yml文件中的端口映射，例如将8080:8080改为8081:8080，然后通过http://localhost:8081访问。
• 可能原因2：镜像拉取失败或构建错误。
  • 排查：检查网络连接。尝试手动拉取基础镜像docker pull vulhub/...。查看docker-compose up的错误输出，根据提示解决问题，可能是Dockerfile中的某条命令执行失败。

一个实用的排查流程记录：在一次复现中，我遇到读取web.xml返回404，但读取/etc/passwd却成功的情况。这很奇怪。后来我通过读取一个已知的图片文件logo.png，发现其完整URL路径是/portal/resources/images/logo.png。我据此推断，漏洞JSP文件fileDownload.jsp的实际物理路径可能比我想象的深。于是我尝试了fileName=../../../../WEB-INF/web.xml（增加了两层../），果然成功了。这说明，在测试时，结合已知资源路径进行推理，是定位正确../层数的有效方法。

7. 从漏洞复现到企业安全防护的思考

复现一个漏洞，绝不仅仅是为了“证明它能通”。作为安全从业者，我们应该想得更远。金蝶EAS这个文件读取漏洞，像一面镜子，映照出许多企业级应用在安全开发生命周期（SDLC）中的共性短板。

对甲方的启示（企业安全运维人员）：

1. 资产管理与漏洞预警：必须建立完善的企业软件资产清单，明确所有在用的商业软件（如金蝶EAS、用友NC、OA系统等）的名称、版本、部署位置。主动订阅这些产品的官方安全公告、CNVD/CNNVD等漏洞库信息，一旦出现类似高危漏洞通告，能第一时间定位受影响资产。
2. 最小化安装与权限配置：在部署像EAS这样的大型系统时，应遵循最小权限原则。为应用服务器分配独立的、低权限的系统账户。严格限制其文件系统访问权限，确保其只能读写必要的应用目录和数据目录，无法访问系统关键路径。
3. 纵深防御与WAF规则：在网络边界或应用前端部署WAF（Web应用防火墙），并配置针对路径遍历（../,..\, 编码变形）攻击的检测规则。即使应用本身有漏洞，WAF也能作为一道有效的缓冲防线。
4. 定期安全评估：对核心业务系统定期进行授权下的渗透测试或漏洞扫描，主动发现潜在风险，而不是等到被攻击后才补救。

对乙方的启示（安全研究人员与开发者）：

1. 漏洞研究的范式：研究一个漏洞，要从利用点（攻击面）追溯到根本原因（代码缺陷），再升华到防护方案。完整的漏洞报告应包括：漏洞描述、影响版本、复现步骤（含截图）、原理分析（可附关键代码段）、修复建议。这比单纯提供一个Payload有价值得多。
2. 安全开发意识的灌输：在项目开发中，必须强制推行安全编码规范。对所有用户输入（包括参数、头、Cookie）视为不可信，进行严格的校验、过滤和规范化。文件操作、数据库查询、命令执行等高风险函数的使用，必须经过安全评审。
3. 组件安全与依赖管理：很多漏洞源于陈旧的、有已知漏洞的第三方组件（如旧版本的Apache Commons FileUpload、Spring框架等）。需要建立软件成分分析（SCA）流程，持续监控和升级第三方库。

复现这个漏洞的过程，就像一次精细的考古。我们不仅挖出了那个特定的“陷阱”，更看清了形成这片“陷阱区”的地质结构。对于企业而言，真正的安全不是堵住某一个漏洞，而是构建起一套能够持续发现和修复漏洞的机制与文化。每一次成功的漏洞复现，都应该是向着这个目标迈进的一步。在测试的最后，别忘了将你的靶场环境清理干净，执行docker-compose down，安全研究始于合规，也终于合规。