kkFileView-4.3.0命令执行复现（QVD-2024-14703）

一个无名之辈的杂记本

已于 2024-07-19 16:45:49 修改

阅读量818

点赞数 6

分类专栏：漏洞复现文章标签：网络安全

于 2024-07-19 16:31:24 首次发布

本文链接：https://blog.csdn.net/qq_42704754/article/details/140552359

版权

搭建环境

准备好如下材料：

在这里插入图片描述

说明：LibreOffice_7_rpm.tar.gz是LibreOffice_7.5.3.2_Linux_x86-64_rpm.tar.gz重命名得到的。

将LibreOffice_7_rpm.tar.gz放到/tmp/下，然后到kkFileView-4.3.0.tar.gz所在目录下执行如下命令：

tar -zxvf kkFileView-4.3.0.tar.gz
cd kkFileView-4.3.0/bin
./startup.sh
systemctl stop firewalld.service
java -jar kkFileView-4.3.0.jar

然后进行访问，http://ip:8012，如下，

在这里插入图片描述
搭建参考：https://blog.csdn.net/m0_71578648/artic

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

一个无名之辈的杂记本

关注关注

6
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

kkFileView 任意文件上传致远程代码执行漏洞复现(QVD-2024-14703)

0xSec

04-21

3399

2024年4月，互联网上披露kkFileView远程代码执行漏洞情报，攻击者可利用该漏洞上传恶意文件，获取操作系统权限。该漏洞利用简单，建议受影响的客户尽快修复漏洞。

漏洞分析 | kkFileView远程代码执行漏洞

WangsuSecurity的博客

05-17

3595

网宿安全演武实验室监测到kkFileView存在远程代码执行漏洞（网宿评分：危急，CVSS3.1评分：9.8）

参与评论您还未登录，请先登录后发表或查看评论

Linux安装kkFileView 4.3.0

u014379055的博客

08-29

899

kkFileView 4.3.0安装

【已复现】kkFileView任意文件上传致远程代码执行漏洞,从零基础到精通，收藏这篇就够了！

最新发布

Javachichi的博客

03-07

1390

在v4.2.0版本的更新中，由于前台上传功能在处理压缩包时，从仅获取文件名改为获取文件名及其目录，导致出现了Zip Slip漏洞。攻击者通过上传特制的ZIP文件，可以执行服务器上的任意代码，从而获得服务器的进一步控制权。最严重的情况下，这可能导致服务器的完全接管，敏感数据泄露，甚至将服务器转化为发起其他攻击的跳板。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」：将由新的引擎版本支持该漏洞的原理检测，将于2024.4.18前发布。

Centos7.9安装kkfileview4.3.0

m0_71578648的博客

05-22

1518

1.下载LibreOffice_7.5.3.2_Linux_x86-64_rpm.tar.gz这个包太慢。目前只有三种方式获取4.3.0。

kkFileview任意文件读取漏洞复现

qq_44484541的博客

11-01

2484

kkFileView为文件文档在线预览解决方案，该项目使用流行的spring boot搭建，易上手和部署，基本支持主流办公文档的在线预览，如doc,docx,xls,xlsx,ppt,pptx,pdf,txt,zip,rar,图片,视频,音频等等。Keking kkFileview 存在安全漏洞，该漏洞源于存在通过目录遍历漏洞读取任意文件，可能导致相关主机上的敏感文件泄漏。Keking KkFileview是中国凯京科技（Keking）公司的一个 Spring-Boot 打造文件文档在线预览项目。

kkFileView远程代码执行漏洞分析

qq_18193739的博客

04-23

8499

使用…/…/ 即可导致任意文件内容覆盖转换pdf是启动了LibreOffile 并执行 C:\Users\26927\Downloads\kkFileView-4.2.1\server\libreoffice\program\uno.py 脚本中内容导致RCE。

kkfileview4.3.0在linux下安装

qq_39306234的博客

03-18

1972

4.安装kkfileview之前，需要在linux上面安装LibreOffice，这个在运行kkfv时其实会自动下载，或者运行bin目录下得install.sh文件，但是大概率下载不下来。kkfileview的gitee地址：https://gitee.com/kekingcn/file-online-preview/releases。链接：https://pan.baidu.com/s/1R-Y1taWUXpr4nuoa83ILQQ。然后进入解压kkfileview。遇到输入y/n/啥的就输入y。

KKFileView v3.5.1文件预览服务漏洞修复

fengshi95的博客

05-23

845

KKFileView演示首页，提供了文件上传的功能，可以上传任意文件。

fileView-4.3.0.zip

08-09

项目特性 # 支持word excel ppt，pdf等办公文档支持txt,java,php,py,md,js,css等所有纯文本支持zip,rar,jar,tar,gzip等压缩包支持jpg，jpeg，png，gif等图片预览（翻转，缩放，镜像）支持mp3，mp4，flv等多媒体文件预览使用spring boot开发，预览服务搭建部署非常简便 rest接口提供服务，跨平台特性(java,php,python,go,php，....)都支持，应用接入简单方便支持普通http/https文件下载url、http/https文件下载流url、ftp下载url等多种预览源提供zip，tar.gz发行包，提供一键启动脚本和丰富的配置项，方便部署使用提供Docker镜像发行包，方便在容器环境部署抽象预览服务接口，方便二次开发，非常方便添加其他类型文件预览支持最最重要Apache协议开源，代码pull下来想干嘛就干嘛

kkfileview 4.3.0 docker image

08-28

kkfileview 4.3.0 docker image

kkFileview漏洞总结

qq_61475980的博客

07-22

3082

项目介绍Keking KkFileview是中国凯京科技（Keking）公司的一个以Spring Boot打造文件文档在线预览项目。

热门推荐

Libra1313的博客

10-23

1万+

经常会有大学生粉丝朋友私信大白，想通过打CTF比赛镀金，作为进入一线互联网大厂的门票。但是在CTF做题很多的时候都会用到工具，所以在全网苦寻CTF比赛工具安装包！

【已解决】kkFileView存在文件上传存储型XSS漏洞

weixin_44938223的博客

08-27

1906

通过以上操作，此问题完美解决，配置文件中其他配置的修改也可以影响到其他的功能，例如水印信息等，大家修改时一定要谨慎，如果有其他解决方案，欢迎大家在评论区进行讨论。

网络安全-kkFileViews任意文件读取漏洞原理解析

weixin_39445116的博客

02-04

4533

在学习的过程中，了解到kkFileView存在任意文件读取、SSRF、文件上传漏洞。为了更深刻的理解其原理，我从git拉取了项目，由于该漏洞在最新版本已经修复，所以这只是历史版本中存在的。写这篇文章来提醒自己代码中容易出问题的地方。

kkFileview存在任意文件读取漏洞

nnn2188185的博客

04-26

8788

Keking kkFileview 存在安全漏洞，该漏洞源于存在通过目录遍历漏洞读取任意文件，可能导致相关主机上的敏感文件泄漏。

CentOS使用kkFileView实现在线预览word excel pdf等

不积跬步无以至千里，不积小流无以成江海。一个喜欢学习分享的程序员

12-12

2662

文档在线预览项目解决方案，项目使用流行的spring boot搭建，易上手和部署。万能的文件预览开源项目，基本支持主流文档格式预览。支持固定水印以及动态水印，同时可以设置文件禁止复制等。

kkFileView getCorsFile 任意文件读取漏洞（CVE-2021-43734）

weixin_44304678的博客

11-09

3090

Keking KkFileview是中国凯京科技（Keking）公司的一个 Spring-Boot 打造文件文档在线预览项目。Keking kkFileview 存在安全漏洞，该漏洞源于存在通过目录遍历漏洞读取任意文件。

kkfileview-4.3.0下载

12-16

kkfileview-4.3.0是一种开源的文件预览工具，可以在网页中直接预览各种类型的文件，如文档、图片、音频、视频等。这个版本的kkfileview有很多改进和新增功能。可以通过在网上搜索kkfileview-4.3.0进行下载。首先，访问kkfileview官方网站或在开源社区中搜索kkfileview-4.3.0版本的下载链接。找到可信赖的下载源后，点击下载按钮或提供的链接开始下载。下载的文件通常是一个压缩包，包含有kkfileview-4.3.0的安装文件和相关文档。下载完成后，解压缩文件，可以看到安装文件和一些文档说明。根据操作系统的不同，选择对应的安装文件进行安装。双击运行安装文件，按照提示进行安装。在安装过程中，可以选择安装路径和相关设置。安装完成后，可以根据软件的指南和文档进行进一步的配置和使用。kkfileview-4.3.0提供了友好的用户界面和简单的操作方式，可以根据需要自定义预览文件的样式和功能。通过设置文件的路径或链接，可以将文件嵌入到网页中，实现在线预览的功能。总之，kkfileview-4.3.0是一款强大的文件预览工具，可以方便地在网页中预览各种类型的文件。下载并安装该版本后，可以按照需要进行配置和使用。希望以上回答对您有帮助。