文章总结： 本文分享在EDU环境挖掘任意文件读取漏洞的实战案例。作者通过分析登录页的PDF下载接口，发现fileName与filePath参数存在过滤缺失，利用目录穿越成功读取/etc/passwd。建议针对类似文件下载功能进行参数遍历测试，具备良好的实战参考价值。 综合评分： 88 文章分类： SRC活动,WEB安全,实战经验,渗透测试,漏洞分析

edu漏洞挖掘：某985证书站挖掘&通杀任意文件读取漏洞

原创

安全笑笑生

安全笑笑生

2026年1月4日 18:53 江西

前言

#

最近有段时间没发文章了，新的一年从这一篇文章开始，带来任意文件下载的案例附上部分思路

正文

在逛edusrc平台的时候又看到了只要高危漏洞的证书站，想着好久没怎么挖洞了，就去看看这个学校，在稍微看了一圈web无果过后，果断去找公众号小程序

经典公众号入手，进入访客预约系统

这样一个登录口，翻js文件没看到什么，findsomething也没提取到有用的接口，而且是带着学校域名的网站，这种的扫端口估计也看不到什么东西

于是把目光瞄向了这个.pdf

点击就会跳转读取这个pdf，一般这种读取文件的我是蛮少尝试的，但是很久之前碰到过这样的任意文件读取漏洞，也是在登录口看到一个解释说明的pdf点击就会下载，于是尝试抓包看看能不能目录穿越去读一下/etc/passwd

GET/visitorp/ui/v1/mobileUnifiedService/download/file? fileName=xxxxxxxx-xxxxxx-xxxxxxxx-xxxx.pdf&type=mobile&personId=eyJhbGciOiJIUzI1NiIsInR5cGxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.xxxxxxxxxxxxx.xxxxxxxxxx HTTP/1.1 Host:xxx.xxx.edu.cn Cookie:JSESSIONID=C9D056F73FFAF92543B77E3FE1DA7E27;UM_distinctid=19a526953b3532- 02e07641f7955c8-8515024-144000-19a526953b47f1 User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64;rv:146.0)Gecko/20100101Firefox/146.0 Accept:application/json,text/plain,*/* Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding:gzip,deflate,br X-Requested-With:XMLHttpRequest Referer:https://xxx.xxx.edu.cn/xxxxxx/mobile/innerLogin?openId=ogUa9wElTzXOIxxxxxxxxxx&type=wxmp_visited&signId=Sec-Fetch-Dest:empty Sec-Fetch-Mode:cors Sec-Fetch-Site:same-origin Priority:u=0 Te:trailers Connection:keep-alive

抓到一个这样的包，看到这种file?fileName就要注意，如果没做好限制就会造成任意文件读取，想要读取/etc/passwd，就用../不断到上一级目录，看能不能读取到/etc/passwd

果然就出现了，因为这个系统是带着学校域名的系统，所以最后也是给了高危收工下线

有的系统就不能直接把fileName=参数后面全部改成/../etc/passwd去尝试，比如下一个案例

某天，漏洞群突然说上线个新证书站，看名字有点熟悉，果然是之前挖过的，和上面某985高校一样都是登录口存在的任意文件读取漏洞

相同的这里也是登录口存在一个用于解释说明的pdf文件，点击下载抓包：

这次的参数不是fileName而是filePath，这里就要注意不能直接把从/uploads/ggfj这里开始都全部删掉然后去/../etc/passwd找了，只能把最后的.pdf文件的位置改成../../etc/passwd去尝试看能不能任意文件读取

成功读取

发现是公司做的系统，然后提取指纹：

总结

如果说当碰到了登录口，或者说一些特殊的网站，看到有读取文件的操作就抓包看看是不是有类似于file,fileName,filePath的这种的参数，就去尝试能不能读取其它的文件，不过可千万别怼着学校官网的”奖学金.pdf”去尝试……

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全笑笑生 安全笑笑生《edu漏洞挖掘：某985证书站挖掘&通杀任意文件读取漏洞》