文章总结： 本文详细记录了一次针对SpringBoot应用的渗透测试过程，从Druid监控页面弱口令突破开始，结合未授权文件上传触发XSS漏洞，利用kkFileView组件实现SSRF和任意文件读取，最终通过源码审计发现路径穿越漏洞上传JSP后门获取服务器权限。文章展示了漏洞组合利用的完整链条，并提供了具体操作方法和工具参考。 综合评分： 77 文章分类： 渗透测试,WEB安全,漏洞分析,实战经验,红队

记一次弱口令 + 文件上传组合拳、复盘从弱口令一步步 Getshell 全过程

kirano文乃 kirano文乃

渗透安全HackTwo

2026年4月27日 00:01 广东

在小说阅读器读本章

去阅读

0x01 简介

本次针对某 SRC 旗下 SpringBoot 资产展开全方位渗透测试，目标仅单一根域名却包含大量子站点。通过敏感目录扫描发现 Druid 监控页面，利用默认弱口令完成登录打点。结合未授权文件上传接口，绕过文件后缀校验触发 XSS 漏洞，同时挖掘 kkFileView 组件缺陷，实现任意文件读取与 SSRF 探测。最终通过源码审计发现路径穿越漏洞，利用任意文件上传至 Tomcat 目录，上传 JSP 后门成功 Getshell，层层组合漏洞拿下服务器权限。

本文仅用于技术学习与合规交流，严禁非法滥用。因违规使用产生的一切后果，由使用者自行承担，与作者无关。

现在只对常读和星标的公众号才展示大图推送，建议大家把渗透安全HackTwo“设为星标”，否则可能就看不到了啦！****

参考文章：

https://xz.aliyun.com/news/91668https://www.hacktwohub.com/

末尾可领取挖洞资料/加圈子 #渗透安全HackTwo

0x02 正文详情

目标：某src资产，只有一个根域名，但是拥有多个子域名。

druid弱口令

1.前期对这个web应用做信息收集时，没有收集到任何有用的信息，它看上去就像是一个简单静态页面展示（这里就不截图展示了，厉害的大佬能根据页面找到这个web）。但是当我打开浏览器devtools进行抓包时，发现其存在网络请求，并且每个请求包的一级路由都是相同的，在查看服务器信息发现是ngnix → 推断为前后端分离的项目。

2.如果是前后端分离的项目，首先想到的就是java web应用（按目前市面上主流开发来看的话）。并且如果是spring的项目话一般是会有默认报错页面的，这里为了验证猜测，我直接在浏览器访问了这个路由。

3.显而易见，这是一个java spring的项目。spring项目一般是存在很多敏感目录和敏感文件的，我们可以使用字典来进行进一步的信息收集。这里我用的是曾哥的SpringBootScan：

4.发现接口文档路径和druid的登陆页面，这里我先打开druid的页面看是否存在未授权或者弱口令。

5.好吧没有未授权，但是存在登陆页面，只能默认密码或者弱口令爆破了。结果直接默认密码登陆成功了，成功拿到一个druid的弱口令漏洞。

6.然后我就想能否找到后面页面，通过druid的session监控里面的session爆破session登陆到后台，可惜并没发现任何后台地址或路由信息。到这里只能放弃了。

组合漏洞:xss未授权访问+文件上传+xss

1.根据前面SpringBoot敏感信息收集的swagger文档里面，我找到了一个文件上传接口（存在未授权访问）。由于是一个jar包启动的项目，他不像tomcat中间件启动的项目能够解析jsp文件以便于我们获取webshell，对于这类java项目通过文件上传的方式获取shell是不太可能的。于是我就想能否上传一个html页面，实现一个xss。请求包构造payload发送结果如下：

2.他是一个图片上传接口，但是我将后缀改为html是没有任何校验的，得到这个返回结果发现只是将文件名重写了并未重写后缀，访问页面，成功拿到一个xss漏洞：

java组件存在ssrf、任意文件读取等多个漏洞

1.swagger文档没有获取到其他可以利用的点，跑回前端对前端代码做一个简单的审计（主要目的是挖掘更多的路由、url、资产地址等），这个位置存在了大量的接口地址信息，并且有一个地址很独特，看名字像是一个图片预览地址：/preview/onlinePreview?url=

2.访问地址/preview/onlinePreview?url=，页面如下：

3.直接拼上百度地址首页图片是springboot默认页面报错，虽然是500报错码，但没有具体报错信息，无法进一步利用。

4.然后我就去掉了url参数意外发现了报错信息，这里比较关键的是这个包信息：cn.keking → 进行进一步收集发现是一个叫做kkFileView的java组件

5.查看官方的文档说明，发现其是一个单独的springboot项目，并且存在一个主页面，上面会记录其最新版本更新说明。

思考：如果我能获取到目标的这个kkFileView服务主页面的更新说明，能否根据其版本信息查询到一些历史漏洞呢？→ 最终得到其版本信息为v4.0.0

6.收集版本对应历史漏洞主要如下： 1）存在zip slip文件解压进行文件替换造成的RCE 2）SSRF 3）文件读取

（第一个漏洞危害有点大了，他会替换文件，实在不行再考虑利用）

文件读取漏洞

这里我们主要是用了ssrf和文件读取，最终利用成功，这里我读取了/etc/passwd：

SSRF漏洞

然后读取云服务信息，这里通过whois查询发现是腾讯云服务器，读取元数据信息：

续我想通过元数据信息拿到accesskey接管其账号，没有利用成功（有厉害的大佬可以交流一下），貌似其并没有开通ram信息接口地址等导致我无法获取临时的token。

通过文件上传拿到webshell

1.最终我还是想拿到服务器权限，有没有什么其它方式呢？ → 把想到了办法都用了，搞了半天，最终还是审计源码给了我突破口。

（分享点小经验，当找不到服务源码具体路径或者其它文件路径时：不妨查看一下.bash_history，说不定有惊喜）

2.通过file协议对其服务jar包进行下载，反编译后审计，找到一个文件上传接口存在路径穿越：

3.第一部分path是获取的config.properties配置的路径信息，第二部分filename是file.getOriginalFilename()获取的全文件名，后续代码并未对其进行过滤直接进行了路径拼接。这里有一个问题：如果存在文件名为../../../，将会达到一个任意目录穿越的效果，最终形成任意文件上传到任意目录的一个漏洞。

4.这里由于前期的信息收集，我是发现其存在一个tomcat的服务。于是我利用这个任意目录的任意文件上传，上传jsp后们到了tomcat服务中。数据包构造如下：

5.通过哥斯拉连接后门，成功拿下服务器权限：

0x03 总结

本次打点堪称步步惊喜，看似平平无奇的静态页面，实则暗藏玄机。从 Druid 弱口令轻松破门，一路解锁 XSS、SSRF、文件读取各类漏洞。靠着漏洞组合拳一路摸瓜，深挖组件缺陷与代码漏洞，凭借路径穿越上传后门，极限拿下服务器权限，挖洞路上，细节永远是上分关键。。最后愿各位师傅在后续挖洞之路中，精准定位漏洞、高效挖掘，天天出高危、次次有收获，挖洞顺利、不踩坑、多拿奖励，共同提升支付业务安全测试能力！🔥喜欢这类文章或挖掘SRC技巧文章师傅可以点赞转发支持一下谢谢！

内部星球VIP介绍V1.4（更多未公开挖洞技术欢迎加入星球）

如果你想学习更多另类渗透SRC挖洞技术/攻防/免杀/应急溯源/赏金赚取/工作内推，欢迎加入我们内部星球可获得内部工具字典和享受内部资源/内部群🔥

🚀1.每周更新1day/0day漏洞刷分上分，目前已更新至5394+;

🧰2.包含网上的各种付费工具/各种Burp漏洞检测插件/fuzz字典等等;

🧩3.Fofa/Hunter/Ctfshow/360Quake/Shadon/零零信安/Zoomeye各种账号高级VIP会员共享等等;

🎥4.最新SRC挖洞文库/红队/代审/免杀/逆向视频资源等等;

🧪5.内部自动化漏扫赚赏金捡洞工具，免杀CS/Webshell工具等等;

💡6.漏洞报告文库、共享SRC漏洞报告学习挖洞技巧；

🎯6.最新0Day1Day漏洞POC/EXP分享地址（同步更新）;

https://t.zsxq.com/8IDY4(全网最新最完整的漏洞库)

🔥7.详情直接点击下方链接进入了解，后台回复” 星球 “获取优惠先到先得！后续资源会更丰富在加入还是低价！（即将涨价）以上仅介绍部分内容还没完！点击下方地址全面了解👇🏻

👉点击了解加入–>>2026内部VIP星球福利介绍V1.5版本-1day/0day漏洞库及内部资源更新

结尾

免责声明

获取方法

回复“app” 获取  app渗透和app抓包教程

回复“渗透字典” 获取 一些字典已重新划分处理（需要内部专属fuzz字典可加入星球获取，内部字典多年积累整理好用！持续整理中！）

回复“书籍” 获取 网络安全相关经典书籍电子版pdf

最后必看

文章中的案例或工具仅面向合法授权的企业安全建设行为，如您需要测试内容的可用性，请自行搭建靶机环境，勿用于非法行为。如用于其他用途，由使用者承担全部法律及连带责任，与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。本工具或文章或来源于网络，若有侵权请联系作者删除，请在24小时内删除，请勿用于商业行为，自行查验是否具有后门，切勿相信软件内的广告！

往期推荐

1.内部VIP知识星球福利介绍V1.5版本0day推送

2.最新Nessus2026.2.9版本下载

3.最新BurpSuite2026.1.1专业版下载

4.最新xray1.9.11高级版下载Windows/Linux

5.最新HCL AppScan_Standard_10.9.1下载

渗透安全HackTwo

微信号：关注公众号获取

后台回复星球加入：知识星球

扫码关注 了解更多

上一篇文章：Nacos配置文件攻防思路总结|揭秘Nacos被低估的攻击面

喜欢的师傅可以点赞转发支持一下

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：渗透安全HackTwo kirano文乃 kirano文乃《记一次弱口令 + 文件上传组合拳、复盘从弱口令一步步 Getshell 全过程》