记一次edu站点并拿下的过程cnvd

0x01 jeecg-boot介绍

JeecgBoot是一款基于代码生成器的低代码开发平台，零代码开发！采用前后端分离架构：SpringBoot2.x，Ant Design&Vue，Mybatis-plus，Shiro，JWT。强大的代码生成器让前后端代码一键生成，无需写任何代码！ JeecgBoot引领新的开发模式 (Online Coding模式-> 代码生成器模式-> 手工MERGE智能开发)，帮助解决Java项目70%的重复工作，让开发更多关注业务逻辑。

0x02 发现过程

一开始想着去复现一下CVE-2023-1454(jeecg-boot)的SQL注入的，结果意外打野发现了edu站点。来到目标站点时，进行目录的拼接访问

/jeecg-boot/jmreport/qurestSql

发现直接404了
 

不慌，直接拼接jeecg-boot，发现未授权。
 

(小声说：edu站点提交cnvd是收的)
 

大家也可以去fofa上找类似网站，祝大家尽快拿到属于自己的一份编号

app="JeecgBoot-企业级低代码平台"

没看够~？欢迎关注！

 【腾讯文档】免费领取安全学习资料包！
https://docs.qq.com/doc/DYlBlQ2xhaFBmamtq