黄色网站入口国产美女,精品国产欧美另类一区,国产一区二区美女自慰,日日摸夜夜添无码国产

選擇你喜歡的標簽
我們會為你匹配適合你的網(wǎng)址導(dǎo)航

    確認 跳過

    跳過將刪除所有初始化信息

    您的位置:0XUCN > 資訊 > 安全
    新聞分類

    契約鎖電子簽章系統(tǒng)RCE簡單分析

    安全 PRO 稿源:安全白白 2025-07-07 00:04

    契約鎖分為三塊服務(wù):電子簽約簽署平臺、電子簽約管理控制臺、電子簽約開放平臺,下面分析的漏洞是來自于電子簽約管理控制臺。

    com.qiyuesuo.config.ConsoleConfiguration?這個類有定義前臺不需要鑒權(quán)的接口,其中就包含了此次漏洞的接口?/setup/dbtest

    問題入口點com.qiyuesuo.setup.SetupController#dbtest

    幾個參數(shù)db?、?host?、port、nameusername

    com.qiyuesuo.setup.SetupService#check?方法

    com.qiyuesuo.setup.SetupService#validateDatabase?方法

    com.qiyuesuo.setup.SetupService#dbtest?方法

    后面就是常見的JDBC調(diào)用了

    內(nèi)置了幾個常見的數(shù)據(jù)庫驅(qū)動,可以直接RCE

    最后放一個poc

    /api/setup/dbtest?db=POSTGRESQL&host=localhost&port=5511&username=root&name=jdbcurl

    ?

    本文首發(fā)于先知社區(qū):https://xz.aliyun.com/news

    0XU.CN

    [超站]友情鏈接:

    四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
    關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級服務(wù)市場:https://www.ijiandao.com/

    圖庫
    公眾號 關(guān)注網(wǎng)絡(luò)尖刀微信公眾號
    隨時掌握互聯(lián)網(wǎng)精彩
    贊助鏈接