[JAVA代码审计]OFCMSv1.3.3之前存在SQL注入漏洞

发表时间：2023-07-19 00:56:17

文章目录写在前面环境配置分析

写在前面

好久没碰过Javaweb了，但是感觉自己配环境的时候还是满熟练的哈，这一篇算是超级简单那种了，就开启我的Java审计之旅吧

环境配置

我这里是老古董无敌兼容版本Jdk1.8，开启配置

分析

漏洞点在http://url/admin/system/generate/create.json?sqlid=，在com/ofsoft/cms/admin/controller/system/SystemGenerateController.java，能看到这里直接接收了sql参数看看传参方式，跟踪getpara函数，只是一个get请求罢了

再来跟踪update方法

public static int update(String sql) { return MAIN.update(sql); }

再跟进

public int update(String sql) { return this.update(sql, DbKit.NULL_PARA_ARRAY); }

终于到了最关键的地方吧，这里...是可变长参数,也就是相当于一个数组,能够传入0个至n个参数，好久没碰java有点忘了，一般可以用foreach取得每个参数

public int update(String sql, Object... paras) { Connection conn = null; int var4; try { conn = this.config.getConnection(); var4 = this.update(this.config, conn, sql, paras); } catch (Exception var8) { throw new ActiveRecordException(var8); } finally { this.config.close(conn); } return var4; }

看到先建立数据库

上一篇 捐赠支出税收金额怎么算<个人所得税中地址的行政区域发生变化怎么算>

下一篇资产负债率多少，银行贷款才会批准<富力资产负债率多少>

热评文章

初级审计师考试成绩查询时间|查询流程|证书领取

2023-10-27 15:48:55 983
初级审计师考试介绍，证书含金量高吗？

2023-10-27 15:38:48 1611
中牟县审计局参加2020年重点工作任务落实情况跟踪审计工作动员及培训视频会

2023-10-26 16:51:00 911
审计人员查账的时候都会查些什么？有哪些需要注意的？

2023-10-26 13:13:18 1392
注册会计师：《审计》科目，重大错报风险知识点

2023-10-26 02:30:38 1247
国际内部审计师CIA有什么特点？有没有备考的方法技巧？

2023-10-26 00:24:06 273
注册会计师：《审计》科目，审计的定义及题目分析

2023-10-25 22:42:48 136
2020年注册会计师：《审计》科目，审计工作底稿归档期间和归档要求

2023-10-25 22:32:41 240
注册会计师：《审计》科目，内部复核、审计工作底稿、财务报表复核知识点

2023-10-25 22:27:38 362
注册会计师：《审计》科目，审计证据的充分性、适当性，可靠性知识点

2023-10-25 22:17:23 1109
注册会计师：《审计》科目，审计业务约定书知识点

2023-10-25 22:07:17 989
当一名审计需要有哪些能力？你都具备了吗？

2023-10-25 21:46:58 914
国际注册内部审计师CIA考试通过率怎么样？附网上报名流程

2023-10-25 14:31:42 1621
初级审计师的报考条件和报考流程是什么？考试时间在什么时候？

2023-10-25 12:40:21 701
审计师考试，零基础考生该怎么备考？能通过吗？

2023-10-24 18:52:08 160
审计师考试为什么这么多人报名参加？考下后有什么好处？

2023-10-24 18:31:50 1321
中级会计师和中级审计师考哪个比较好？两者不同的地方在哪里？

2023-10-24 18:26:44 1061
2020年注册会计师审计科目难考吗？怎么学？

2023-10-23 23:32:56 817
CIA内部审计师考试有用吗？多少分才能及格？

2023-10-23 21:46:22 1165
注册会计师的审计科目怎么答题？该怎么学习比较好？

2023-10-23 16:37:09 680