JeecgBoot积木报表综合漏洞检测工具
JeecgBoot积木报表综合漏洞检测工具
工具介绍
JeecgGo 综合漏洞检测工具, 基于Go语言开发, 该工具结合作者在工作中测试时遇到的问题进行改进。使用时, 需下载主程序以及Config.yaml文件放在同一目录下运行(重要), 运行结束后会生成result.json文件, 里边包含检测到存在漏洞的URL、payload以及响应内容。
支持漏洞
SQL注入
queryTableData SQL注入漏洞
qurestSql SQL注入漏洞
getTotalData SQL注入漏洞
show SQL注入漏洞
getDictItemsByTable SQL注入漏洞
check SQL注入漏洞
getDictItemsByTable 后台未授权SQL注入漏洞
column 参数SQL注入漏洞
parseSql SQL注入漏洞
命令执行
testConnection 远程命令执行漏洞
loadTableData SSTI模板注入漏洞
queryFieldBySql 模板注入漏洞
sendMsg freemaker模板注入
AviatorScript 表达式注入漏洞
文件上传
jmreport/upload 接口未授权任意文件上传漏洞
commonController.do 任意文件上传漏洞
信息泄露
querySysUser 信息泄露漏洞
checkOnlyUser 信息泄露漏洞
httptrace 信息泄露漏洞
dataSource_list 接口数据库账号密码泄露
fileTree 目录遍历漏洞
passwordChange 任意用户密码重置漏洞
使用说明
简单用法
JeecgGo.exe -u http://127.0.0.1/jeecg-boot/
携带token进行测试
JeecgGo.exe -u http://127.0.0.1/jeecg-boot/ -x token
命令执行
JeecgGo.exe -u http://127.0.0.1/jeecg-boot/ -n sendMsg -c id -x token
JeecgGo.exe -u http://127.0.0.1/jeecg-boot/ -n queryFieldBySql -c whoami
JeecgGo.exe -u http://127.0.0.1/jeecg-boot/ -n loadTableData -c "echo 111"
更新
- 2025/10/18: 对代码结构进行重构, 便于后续新增POC及内容调整
- 2025/10/15: 增加了parseSql SQL注入漏洞
参考链接
https://github.com/MInggongK/jeecg-
https://www.cnblogs.com/CVE-Lemon/p/18392679
https://blog.csdn.net/YJ_12340/article/details/146536305
工具下载
https://github.com/Msup5/JeecgGo