VULHUB ™

版本：6.0，7.0，7.100 存在漏洞的文件： /meeting/Maint/MeetingTypeCheck.jsp 该文件接收2个参数：typename、id 测试发现如果数据库是oracle，则两个参数均可注入，如果数据库是mssql，则只有参数id可注入。 代码： ``` <%@ page language="java" contentType="text/html; charset=GBK" %><%@ page import="weaver.general.Util" %> <jsp:useBean id="RecordSet" class="weaver.conn.RecordSet" scope="page" /><% String roomtypename = Util.null2String(**.**.**.**.URLDecoder.decode(request.getParameter("typename"),"UTF-8")); //获得操作页面MeetingType_left.jsp传过来的参数 name String id = Util.null2String(request.getParameter("id")); if (id != null && !"".equals(id)) RecordSet.executeSql("select * from meeting_type where name='"+roomtypename+"' and id != " + id); //修改状态时有id传入进行过滤 else RecordSet.executeSql("select * from meeting_type where name='"+roomtypename+"'"); if (RecordSet.next()){ out.print("exist--"); } else { out.print("unfind--"); } %> ``` 可以看到参数typename和id都未进行额外的处理，直接拼接到sql语句中执行了。 google关键字： intitle:泛微协同商务系统 inurl:login 等关键字可搜出不少来。

版本：6.0，7.0，7.100 存在漏洞的文件： /meeting/Maint/MeetingTypeCheck.jsp 该文件接收2个参数：typename、id 测试发现如果数据库是oracle，则两个参数均可注入，如果数据库是mssql，则只有参数id可注入。 代码： ``` <%@ page language="java" contentType="text/html; charset=GBK" %><%@ page import="weaver.general.Util" %> <jsp:useBean id="RecordSet" class="weaver.conn.RecordSet" scope="page" /><% String roomtypename = Util.null2String(**.**.**.**.URLDecoder.decode(request.getParameter("typename"),"UTF-8")); //获得操作页面MeetingType_left.jsp传过来的参数 name String id = Util.null2String(request.getParameter("id")); if (id != null && !"".equals(id)) RecordSet.executeSql("select * from meeting_type where name='"+roomtypename+"' and id != " + id); //修改状态时有id传入进行过滤 else RecordSet.executeSql("select * from meeting_type where name='"+roomtypename+"'"); if (RecordSet.next()){ out.print("exist--"); } else { out.print("unfind--"); } %> ``` 可以看到参数typename和id都未进行额外的处理，直接拼接到sql语句中执行了。 google关键字： intitle:泛微协同商务系统 inurl:login 等关键字可搜出不少来。