SpringBlade-企业级开发平台-SQL注入(含批量验证poc)

已于 2024-05-11 14:43:13 修改
阅读量63 收藏
点赞数
分类专栏: 漏洞复现 文章标签: sql 数据库 web安全
于 2024-05-11 14:43:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/138715398
版权

简介

受益于企业级前端应用开发平台 EDP ,它为项目管理、包管理、调试、构建、代码生成、代码检测、单元测试等各个环节提供解决方案,具备完善的工程化支持。

漏洞描述

福建科立讯通信指挥调度管理平台 ajax_users.php接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

影响版本与影响数量

影响版本:SpringBlade-企业级开发平台
影响数量:19,053
Fofa:
app=”Saber企业级开发平台” && body=”/saber/“

漏洞编号与披露时间

漏洞编号:暂无
披露时间:2024-05-06

漏洞复现

GET /api/blade-system/dict-biz/list?updatexml(1,concat(0x7e,md5(123456),user(),
了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
SpringBlade dict-biz/list SQL 注入漏洞复现
0xSec
04-16 1179
SpringBlade 后台框架/api/blade-system/dict-biz/list 路径存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
漏洞复现】Saber企业级开发平台-SQL注入-list
知黑而守白
04-19 975
受益于企业级前端应用开发平台 EDP ,它为项目管理、包管理、调试、构建、代码生成、代码检测、单元测试等各个环节提供解决方案,具备完善的工程化支持。Saber企业级开发平台 list 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
SpringBlade-权限缺陷】API鉴权逻辑缺陷漏洞
06-29 6740
API鉴权】
【复现】SpringBlade SQL 注入漏洞_22
fushuang333的博客
01-18 2169
【复现】SpringBlade SQL 注入漏洞SpringBlade 是由一个商业级项目升级优化而来的SpringCloud微服务架构,采用Java8 API重构了业务代码,完全遵循阿里巴巴编码规范。
漏洞挖掘日记1:企业src某系统存在登录绕过漏洞
weixin_49349476的博客
08-10 517
登录绕过漏洞属于逻辑漏洞的一种,这种漏洞会直接绕过身份验证,直接进入后台。
SpringBlade export-user SQL 注入漏洞复现
0xSec
12-19 1555
SpringBlade v3.2.0 及之前版本框架后台 export-user 路径存在安全漏洞,攻击者利用该漏洞可通过组件customSqlSegment 进行SQL注入攻击,攻击者可将用户名、密码等敏感信息通过 excel 导出。
SpringBlade CVE-2022-27360 export-user SQL 注入漏洞分析
shelter1234567的博客
02-28 1203
SpringBlade: SpringBlade 是一个由商业级项目升级优化而来的微服务架构,采用Spring Boot 2.7 、Spring Cloud 2021 等核心技术构建,完全遵循阿里巴巴编码规范。SpringBlade是一个基于Spring Cloud和Spring Boot的开发框架,旨在简化和加速微服务架构的开发过程。注意:blade-auth是必要的 ,本次测试时只要admin登录情况下这串blade-auth就是可用的 貌似生成不够随机,这也算是另一个漏洞了。
SpringBlade error/list SQL 注入漏洞复现
0xSec
03-12 847
SpringBlade 框架后台 /api/blade-log/error/list路径存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
spring-integration-poc:Spring 集成 POC
06-20
spring-integration-poc 此示例演示了准系统入站 Web 服务网关。 查看WebServiceConfig.java类,其中定义了 Spring Web 服务消息调度 Servlet。 另请查看资源目录中的ws-dispatcher-servlet.xml ,其中定义了 ...
Xsafe#PeiQi-WIKI-POC#天擎 前台SQL注入2
07-25
1. 通过安装包安装的一般都有root权限,因此该注入点可尝试写shell 2. 通过注入点,创建一张表 O 3. 为 表O 添加一个新字段 T 并且写入she
CVE-2022-22947-Spring-Cloud-Gateway 内存马POC
03-29
Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告,据公告描述,当启用和暴露 Gateway Actuator 端点时,使用 Spring Cloud Gateway 的应用程序可受到代码注入攻击。攻击者可以发送特制的恶意请求,从而...
PostgreSQL的视图pg_class
lee_vincent1的博客
06-02 1086
在 PostgreSQL 中,pg_class是一个系统目录表,用于存储所有关系(如表、索引、视图、序列等)的元数据。pg_class是数据库系统的重要组成部分,包了关于每个关系的具体信息。pg_class。
【Hive SQL 每日一题】统计每月用户购买商品的种类分布
JIE的博客 --- moon_coder
06-02 349
所以,我们需要先过滤出每个月份符合这个条件的用户ID,由用户ID和月份构建联合键,完成过滤后,再去进行统计。需求说明中,要求我们统计每月各个商品种类的销售分布数据,前提是,只有当用户在当月的下单次数。统计每月用户购买商品的种类分布,每个用户当月的下单次数至少达到。本题的要点在于,如何筛选出我们想要的数据。、category_name 升序排列。时,才被作为有效数据进行统计。次及以上才进行统计。
SQL刷题笔记day8——SQL进阶——表与索引操作
最新发布
qq_47966193的博客
06-02 406
我的答案复盘:有了主键就不用写not nul了。
基础—SQL—DQL(数据查询语言)聚合函数
m0_74363339的博客
05-30 609
这篇博客主要讲到了SQL分类中的DQL(数据查询语言)—聚合函数的讲解,聚合函数比较简单,但它主要配合着分组查询进行数据查询的操作,注意NULL的字段值不参与聚合函数的运算......
vue-sqleditor-poc
09-09
vue-sqleditor-poc 是一个基于 Vue.js 开发SQL 编辑器的示例项目。 在这个项目中,使用了 Vue.js 框架来构建用户界面,并使用了这个框架提供的响应式数据绑定、组件化等特性来实现一个功能完善的 SQL 编辑器。 通过这个示例项目,你可以学习到如何使用 Vue.js 来构建复杂的用户界面,如何处理用户的输入、交互,并且将这些操作转化为合法的 SQL 语句。 在这个 SQL 编辑器中,你可以输入 SQL 查询语句,并且通过预览功能来查看执行结果。用户可以选择连接到不同的数据库,并且可以查看已有的数据库表和列的信息。 该项目还提供了一些基本的 SQL 语法检查和错误提示功能,可以帮助开发者在编写 SQL 语句时减少错误。 此外,你还可以通过这个项目学习到如何使用 Vue.js 的一些其他功能,比如动态组件、过渡效果、事件处理等等。 总之,vue-sqleditor-poc 提供了一个完整的 SQL 编辑器示例,通过探索和学习这个项目,你可以更好地理解 Vue.js 的运作原理,以及如何使用 Vue.js 构建复杂的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值