jeecg-boot 3.8.3 rce漏洞复现分析前言本文参考:jeecg-boot 3.8.3 debug远程命令执行漏洞分析 漏洞描述及详情见: https://github.com/jeecgboot/JeecgBoot/issues/9144 需任意用户权限 本文主要是静态分析,动态调试可见...2026-03-15代码审计
jeecg-boot 3.7.0 漏洞分析前言本文主要是对于漏洞的静态分析,而不是动态复现,漏洞分析的版本为3.7.0 SQL注入漏洞漏洞路由为/jeecg-boot/jmreport/qurestSql 一开始在网上看到的poc写的说可用版本是3.4.3到3...2026-03-09代码审计
java模板注入漏洞审计学习Thymeleaf模板注入漏洞简介Thymeleaf服务器端模板注入(Server-Side Template Injection, SSTI)漏洞,通常发生在应用程序不安全地使用用户提供的动态输入来构建或解析Thymeleaf模板时。简单来说,就是...2026-01-12代码审计
代码审计-仿天猫商城前言Springboot项目仿天猫商城 :前台jsp页面(前后端在一起),mysql数据库,jdk1.8 项目地址:https://gitee.com/HaiTao87/TmallDemo 环境搭建按照项目里面说的部署方式进行部署就完事了,下面我只要...2025-09-20代码审计
代码审计-jshERP-3.5前言前面跟着网上的文章审计过jshERP-2.3,所以现在打算自己动手审一下3.5版本的,最后收获还是不错的(doge 我自己这次采用的还是半黑盒加半白盒的手法,基本上就是根据自己要测的功能点找到对应的代码文件进行分析 项目源码下载链接:Releas...2025-08-01代码审计
代码审计-studentmanager前言这次是笔者第一次自己未借鉴任何文章审一个独立项目 这次所审的项目比较老,但非常适合像我一样的java审计新手来进行尝试,下面我会仔细写上鄙人这次的审计思路和方法 本次我用的是半黑盒+半白盒的审计方法 环境搭建项目地址:https://github...2025-06-19代码审计
代码审计-jshERP v2.3参考深入学习Java代码审计技巧—详细剖析某erp漏洞-先知社区 环境搭建https://github.com/jishenghua/jshERP/releases/tag/2.3 java版本为1.8 创建完数据库之后,在application.p...2025-05-27代码审计
代码审计-Echo2.3前言本文先发于先知社区:代码审计-Echo2.3-先知社区 项目介绍开源社区系统:基于 SpringBoot + MyBatis + MySQL + Redis + Kafka + Elasticsearch + Spring Security + ...2025-05-19代码审计
代码审计-某微商城系统RCE漏洞前言本次审计的项目有提供部署的相关步骤和视频教程,但不知为何我自己在搭建的时候会出现莫名的错误导致环境搭建不起来,因此只能fofa上面搜一个来进行测试 fofa语句:"/Mao_Public/js/jquery-2.1.1.min.js&q...2024-08-24代码审计
代码审计-某TP6对接U支付系统前言本次审计的是一个基于tinkphp6框架的U支付系统 在fofa上面搜索:"/usdtmerchant/login/reg.html"便可以找到相关的网站,要注意的是有些网站已经进行了改进,再也不能利用该文章中的漏洞了 前台s...2024-08-17代码审计
