https://forum.butian.net/share/1892

/formmodel/mobile/mec/servlet/MECAdminAction.java /formmodel/mobile/manager/MobileUserInit.java /mobile/plugin/ecology/service/AuthService.java 

继续回到/formmodel/mobile/manage…

0x00 如何搜索

搜这个“public\Wclass\W\w{0,}Action”。根据这样的搜索随机漏洞，有时候会出意料之外的洞，比如这次的任意sql执行

0x01 简单说明

对登录的账号进行判断是否为admin/sysadmin账号，获取Action参数进行判断是否为getDatasBySql参数，然后直接调用getDatasBySql方法

geDatasBySql的方法是获取了http实例并获取http的sql和datasource的参数，并对这个datasource参数进行判断，当sql语句执行成功后就直接将bool参数赋值为ture，然后进行判断如果不为true的话就直接跳出回显空，否则就继续将sql返回的数据进行json数组的转换输出回显。

这时候思路应该很明了了，全局搜索这个类的路径“com.weaver.formmodel.mobile.mec.servlet.MECAdminAction”,但是这没前端代码只有js文件里面匹配到了，而且还是插件的js，但是默认是存在的，所以这个漏洞是存在的，可以构造http://127.0.0.1/mobilemode/Action.jsp?invoker=com.weaver.formmodel.mobile.mec.servlet.MECAdminAction&action=getDatasBySQL&datasource=&sql=select%20\*%20from%20SystemSet来进行访问。

0x02 流程

/formmodel/mobile/mec/servlet/MECAdminAction.java
在37行对登录的用户进行了判断是否 admin sysadmin的权限