帆软报表最新前台SQL漏洞复现
帆软报表最新前台SQL漏洞复现
原创 莫大130 安全逐梦人 2024-07-26 21:40
环境搭建
从官网上下载环境
https://www.finereport.com/product/download/redirect?version=windows_x64_10.0&token=ydxWtxnCPbX3
安装好后,将
webapps
目录中
webroot目录
的复制到
tomcat3
中的webapps目录中
接着启动运行 tomcat
接着运行
apache-tomcat-8.5.87\bin\startup.bat
就成功搭建环境了
第一次运行 先访问
http://127.0.0.1:8080/webroot/decision
要设置密码,默认内置和外置数据库
本地测试报错
配置tomcat
server.xml
添加
relaxedQueryChars=”[]|{}^\`"<>”
本地测试写webshell
蚁剑进行连接,添加get参数?a=javax.script.ScriptEngineManager,蚁剑连接密码为b,连接类型选择JSPJS
参考
-
https://y4tacker.github.io/2024/07/23/year/2024/7/%E6%9F%90%E8%BD%AFReport%E9%AB%98%E7%89%88%E6%9C%AC%E4%B8%AD%E5%88%A9%E7%94%A8%E7%9A%84%E4%B8%80%E4%BA%9B%E7%BB%86%E8%8A%82/