文章总结： 本文介绍了一款存储桶遍历漏洞利用工具，旨在解决直接访问下载不便及需证明危害的问题。该工具使用JavaFX开发图形界面，集成kkFileView实现文件在线预览。用户可通过配置文件修改支持的扩展名和预览服务地址，点击加载按钮爬取资源并浏览，操作简便，适用于授权安全测试场景。 综合评分： 79 文章分类： 安全工具,渗透测试,WEB安全

存储桶遍历漏洞利用工具

jdr2021 jdr2021

W小哥

2026年1月28日 13:52 浙江

免责声明

文章内容仅限授权测试或学习使用请勿进行非法的测试或攻击，利用本账号所发文章进行直接或间接的非法行为，均由操作者本人负全责，W小哥及文章对应作者将不为此承担任何责任。

文章来自互联网或原创，如有侵权可联系我方进行删除，深感抱歉。

简介

由于经常遇到存储桶遍历漏洞，直接访问文件是下载，不方便预览，且甲方要求证明该存储桶的危害，，因此该工具应运而生。

技术

使用javafx做图形化，kkFileView做文件预览接口。

使用

命令行运行java -Dfile.encoding=UTF-8 -jar OSSFileBrowse-1.0-SNAPSHOT.jar、或者直接点击run.bat文件。 直接运行，如果存储桶上有中文，则会提示漏洞不存在。

先点击加载按钮，此时会爬取存储桶上的全部资源，等待几秒后，左边的webView将会通过kkFilewView去渲染文件资源。

按钮下一个将会切换到下一个存储桶资源、按钮上一个将会返回到上一个资源。

注意

在config.properties中

修改allow.extensions的值，即可添加可支持的文件类型进行预览。

修改kkFileView_URL的值，即可将kkFileView修改成自己的kkfileview。 默认是使用官方的kkfileview地址。

关注公众号回复“20260128”获取工具地址。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：W小哥 jdr2021 jdr2021《存储桶遍历漏洞利用工具》