java代码审计-javaee论坛V2.0

安装

源码下载:http://www.mycodes.net/143/9369.htm

本地环境用的是IDEA+Tomcat8+mysql5.7.25+java1.8

环境搭建:

最后把数据库内容导入,点击运行,即可看到如下界面。

开始审计

Sql注入

搜索${

审计发现有一个

从Dao层->Service层->Controller层

开始攻击

sqlmap跑起来如下

任意文件读取

搜索FileInputStream

开始攻击