Inxedu介绍：

inxedu(因酷)是一个用Spring+spingMVC+Mybatis+MySQL开发的开源在线教育系统，包括网络课堂、MOOC平台、校园学习平台 、 E-leaning系统 、视频建站。可运行于Linux、Windows等多种系统平台,可以帮助你快速搭建一个课程学习平台。 inxedu是一个帮助用户建立自己网站的程序，特别是适用于建立在线教育类网站，例如网校。inxedu可以方便地帮助用户创建一个带课程功能的网站，在这个网站里，可以向网站上传第三方视频课程，学生可以在线观看课程。 inxedu将项目做的极为简化,只需配置一个配置文件即可运行项目,让小白也可以自己建自己的网校系统。

漏洞概述

inxedu v2.0.6后台存在漏洞，可能导致上传恶意文件，从而可以远程控制网站主机。

漏洞版本：

inxedu v2.0.6

资产测绘：

FOFA:"因酷教育软件"

搭建测试环境：

本次复现使用虚拟机搭建源码地址如下本次使用51job的这个：

https://gitee.com/inxeduopen/inxedu 
https://m.jb51.net/codes/537685.html

下载下来解压到桌面

同时含有安装教程这个后面再看

接下来进行环境的安装，首先安装jdk-8 ，下载地址：

https://www.oracle.com/sg/java/technologies/javase/javase8-archive-downloads.html

下载jdk-8u202-windows-x64.exe，账户密码网上有可以自己搜索，点击程序默认安装即可，安装完之后，执行下面的命令，查看是否安装成功。

java -version

由于程序调用还需要配置JAVA_HOME环境变量，配置教程如下：我这里只配置了系统变量JAVA_HOME，以及系统变量Path

https://www.cnblogs.com/cnwutianhao/p/5487758.html

安装完jdk 之后，需要安装Maven，下载地址如下：

http://maven.apache.org/download.cgi

下载之后，解压，同样需要配置环境变量，教程如下：我只设置了Maven_Home 一个环境变量

https://blog.csdn.net/pan_junbiao/article/details/104264644

配置完成之后，执行以下命令，查看是否安装成功

mvn -v

接下来下载IDEA，下载地址如下：

https://www.jetbrains.com/idea/download/?section=windows

下载下来默认安装即可，选择试用，由于程序是用maven 构建的，不用安装tomact 了，但是还需要安装mysql，安装教程如下：

https://cloud.tencent.com/developer/article/1834552

按照步骤，安装完成之后，可以使用下面的命令连接mysql

mysql -u root -p  # 回车输入密码