Skip to content

Msup5/JeecgGo

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

16 Commits
Common
Common
 
 
Core
Core
 
 
images
images
 
 
.gitignore
.gitignore
 
 
LICENSE
LICENSE
 
 
README.md
README.md
 
 
config.yaml
config.yaml
 
 
go.mod
go.mod
 
 
go.sum
go.sum
 
 
main.go
main.go
 
 
results.json
results.json
 
 
test.yaml
test.yaml
 
 

Repository files navigation

JeecgBoot Go版本综合漏洞利用工具

JeecgGo 综合漏洞利用工具, 基于Go语言开发, 该工具结合作者在工作中测试时遇到的问题进行改进。使用时, 需下载主程序以及Config.yaml(POC)文件放在同一目录下运行, 运行结束后会生成result.json文件, 里边包含检测到存在漏洞的URL、payload以及响应内容。

漏洞如下

SQL注入

queryTableData SQL注入漏洞

qurestSql SQL注入漏洞

getTotalData SQL注入漏洞

show SQL注入漏洞

getDictItemsByTable SQL注入漏洞

check SQL注入漏洞

getDictItemsByTable 后台未授权SQL注入漏洞

column 参数SQL注入漏洞

parseSql SQL注入漏洞

命令执行

testConnection 远程命令执行漏洞

loadTableData SSTI模板注入漏洞

queryFieldBySql 模板注入漏洞

sendMsg freemaker模板注入

AviatorScript 表达式注入漏洞

文件上传

/jmreport/upload 接口未授权任意文件上传漏洞

commonController.do 任意文件上传漏洞

信息泄露

querySysUser 信息泄露漏洞

checkOnlyUser 信息泄露漏洞

httptrace 信息泄露漏洞

dataSource_list 接口数据库账号密码泄露

passwordChange任意用户密码重置漏洞

使用说明

简单用法

JeecgGo.exe -u http://127.0.0.1/jeecg-boot/

携带token进行测试

JeecgGo.exe -u http://127.0.0.1/jeecg-boot/ -x token

命令执行

JeecgGo.exe -u http://127.0.0.1/jeecg-boot/ -n queryFieldBySql -c whoami
JeecgGo.exe -u http://127.0.0.1/jeecg-boot/ -n queryFieldBySql -c "echo 111"
JeecgGo.exe -u http://127.0.0.1/jeecg-boot/ -n queryFieldBySql -c id -x token

更新

  • 2025/10/15: 增加了parseSql SQL注入漏洞

免责声明

本工具仅用于学习,严禁用于任何非法活动。使用本文所述技术前,请确保已获得目标系统所有者的明确授权。任何滥用信息造成的法律责任及后果均由使用者自行承担,作者不承担任何责任。

参考链接

https://github.com/MInggongK/jeecg-

https://www.cnblogs.com/CVE-Lemon/p/18392679

https://blog.csdn.net/YJ_12340/article/details/146536305

About

JeecgBoot Go版本综合漏洞检测工具

Resources

Readme

License

Apache-2.0 license
Activity

Stars

69 stars

Watchers

0 watching

Forks

3 forks
Report repository

Releases 4

v2.0.1 Latest
Oct 19, 2025
+ 3 releases

Packages

No packages published

Languages