版本:6.0,7.0,7.100
存在漏洞的文件:
/meeting/Maint/MeetingTypeCheck.jsp
该文件接收2个参数:typename、id
测试发现如果数据库是oracle,则两个参数均可注入,如果数据库是mssql,则只有参数id可注入。
代码:
```
<%@ page language="java" contentType="text/html; charset=GBK" %><%@ page import="weaver.general.Util" %>
<jsp:useBean id="RecordSet" class="weaver.conn.RecordSet" scope="page" /><%
String roomtypename = Util.null2String(**.**.**.**.URLDecoder.decode(request.getParameter("typename"),"UTF-8")); //获得操作页面MeetingType_left.jsp传过来的参数 name
String id = Util.null2String(request.getParameter("id"));
if (id != null && !"".equals(id))
RecordSet.executeSql("select * from meeting_type where name='"+roomtypename+"' and id != " + id); //修改状态时有id传入进行过滤
else
RecordSet.executeSql("select * from meeting_type where name='"+roomtypename+"'");
if (RecordSet.next()){
out.print("exist--");
} else {
out.print("unfind--");
}
%>
```
可以看到参数typename和id都未进行额外的处理,直接拼接到sql语句中执行了。
google关键字:
intitle:泛微协同商务系统 inurl:login
等关键字可搜出不少来。
暂无评论