PersonManage代码审计

UWI Lv3

2025-08-31 09:39:03 2025-08-31 09:39:03 Created 2025-08-31 10:50 2025-08-31 10:50 Updated

java

部署

源码: GuoMinJim/PersonManage: 人事管理系统（Spring boot+ssm + jsp）

mysql连接要写成我这样不然可能会有时区不一致导致数据库连接报错

1	spring.datasource.url=jdbc:mysql://127.0.0.1:3306/personnel?serverTimezone=Asia/Shanghai&useUnicode=true&characterEncodin

pom.xml文件的resources里面加上

<resource>
        <directory>src/main/resources</directory>
        <includes>
          <include>**/*.xml</include>
          <include>**/*.properties</include>
        </includes>
      </resource>

然后导入数据库即可

任意文件读取

瞟一眼就发现这串代码有问题了 path 和 filename 我们都是可控的那就是任意文件读取

xss

聊天框xss

公告xss

我们提交后数据会直接渲染到jsp页面返回给我们因为没有对内容做过滤所以直接造成xss

同理可知所有输入框都存在类似的xss漏洞

这套系统也没啥功能点都是sql但是都预编译了所以没啥洞

Title: PersonManage代码审计
Author: UWI
Created at : 2025-08-31 09:39:03
Updated at : 2025-08-31 10:50:00
Link: https://nbwsws.github.io/2025/08/31/代码审计/PersonManage代码审计/
License: This work is licensed under CC BY-NC-SA 4.0.

#java

Comments