文章总结： 本文记录了从内存马告警入手挖掘通用0day的过程。审计发现未鉴权的FileUploadServlet接口存在任意文件上传漏洞，黑名单未过滤jsp等后缀，导致可上传Webshell。建议加强上传接口鉴权并采用白名单校验。 综合评分： 85 文章分类： 代码审计,漏洞分析,WEB安全

【代码审计】从日志告警到通用0day的挖掘

原创

Hyyrent Hyyrent

0xSecurity

2026年2月5日 10:39 广东

安全设备告警，机器被写入了内存马

定位系统

先进行系统下线隔离，然后开始进行代码分析审计

web.xml 配置的 Servlet 映射

| Servlet 名称 | URL Pattern | 说明 | 鉴权状态 | | — | — | — | — | | spring (DispatcherServlet) | / | 主控制器，处理所有请求 | 部分鉴权 | | FileUploadServlet | /FileUploadServlet | 文件上传接口 | ❌ 无鉴权 | | MyPushletServlet | /pushlet.srv | 推送服务 | 未知 |

定位相关路由url FileUploadServlet

提供了文件写入的方法，并且上传目录为前台可访问

classes/com/pipe/util/fileupload/FileUploadUtil.class

❌ 黑名单不包含 .jsp, .jspx, .war, .class 等危险扩展名

成功上传文件

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0xSecurity Hyyrent Hyyrent《【代码审计】从日志告警到通用0day的挖掘》