目录
一、KKFileview介绍:
kkFileView为文件文档在线预览解决方案,该项目使用流行的spring boot搭建,易上手和部署,基本支持主流办公文档的在线预览,如doc,docx,xls,xlsx,ppt,pptx,pdf,txt,zip,rar,图片,视频,音频等等
二、安装
安装的是kkfileview4.0.0,目前最新版本已经4.3
下载地址:kkFileView 发行版 - Gitee.com
kk开源社区是要收费的,往下滑可以看到历史版本,选择下载4.0.0版本的
注意:tar.gz为linux版本,zip为windows版本
建议大家还是下载最新的4.2.0的,因为4.0.0和4.1.0有漏洞,虽然官方发布了修改方法,不过是代码修改,并不是补丁,下面会说。
1.安装 LibreOffice7.1
官网上说v4.0.0版本发布,LibreOffice7.1底层,兼容性更强,预览效果更好
wget https://kkfileview.keking.cn/LibreOffice_7.1.4_Linux_x86-64_rpm.tar.gz
tar -zxvf LibreOffice_7.1.4_Linux_x86-64_rpm.tar.gz
yum install -y LibreOffice_7.1.4.2_Linux_x86-64_rpm/RPMS/*.rpm
/opt/libreoffice7.1/program/soffice --version
会显示版本号↓
LibreOffice 7.1.4.2 a529a4fab45b75fefc5b6226684193eb000654f6
2.安装kkfileview
wget https://kkfileview.keking.cn/kkFileView-4.0.0.tar.gz
tar -zxvf kkFileView-4.0.0.tar.gz
解压出一份目录叫 kkFileView-4.0.0
安装完成后,kkfileview结构如下图所示
执行 sh start.sh 会自动执行install.sh
但是我们不要执行
因为有问题,安不了Libreoffice
需要先修改kkfileview的配置文件
vim kkFileView-4.0.0/config/application.properties
#把office.home改成自己安装的libreoffice7.1
office.home = /opt/libreoffice7.1
## office转换服务的进程数,默认开启两个进程,可以自行修改
office.plugin.server.ports = 2001,2002
3.启动
注意:
启动kkfileview之前要保证LibreOffice没有启动,为了确保查出所有office进程
ps -ef|grep office
kill -9 {pid}
上面并没有启动LibreOffice,所以需要做什么,进入kkFileView-4.0.0/脚本所在目录,执行启动脚本
sh startup.sh
#安装完成后查看日志,会告诉你访问地址
sh showlog.sh
kkFileView 服务启动完成,耗时:6.556363035s,演示页请访问: http://127.0.0.1:8012
1
把 127.0.0.1 换成服务器ip,就可以打开了
三、KKFileView4.0.0漏洞
4.0.0漏洞:
1.读取任意文件内容
IP+8012//getCorsFile?urlPath=file:///etc/passwd 
2.删除任意文件
/deleteFile?fileName=demo%2F..\文件名
get请求此uri会删除\kkFileView-master\server\src\main\file目录中的xss.pdf(原本只能删除\kkFileView-master\server\src\main\file\demo目录下的文件)
虽然如下图所示删除成功
但是文件依然存在,所以只有4.0.0只有任意读取
3.修复地址
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.com/kekingcn/kkFileView/issues/304
168
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
