来源刨洞安全

SSTI

根据线索：

直接用 JADX 找到对应代码

很直接嘛，直接传入 sql，那直接构造请求先试试：

居然还有黑名单

这里起码还有个 SQL 注入漏洞

线索中说明了用 Freemarker 处理了传入的 sql 语句，那直接打 SSTI 试试

JDBC RCE

漏洞利用有个前提，必须有 H2 驱动的依赖

用 JADX 在反编译的代码中搜索 testConnection，找到对应的接口

org.jeecg.modules.jmreport.desreport.a.a#a(org.jeecg.modules.jmreport.dyndb.vo.JmreportDynamicDataSourceVo)

在 IDEA 中查看

代码被压的爹妈都不认识了

根据入参 @RequestBody JmreportDynamicDataSourceVo var1 知道，传入一个 JmreportDynamicDataSourceVo 对象的 JSON

JmreportDynamicDataSourceVo

里面能自定义 dbUrl，那么就直接构造参数，试试看

dbUrl 用前段时间的 metabase poc 改改