文章总结： 文章披露某智慧能源管理平台两处0day漏洞：session伪造漏洞因struts框架未对/systems路径鉴权，通过构造特定参数可绕过登录验证；后台SQL注入漏洞位于UserAction类的operIdVaild方法，参数直接拼接导致可验证数据库名。漏洞已修复，作者强调仅供技术研究。 综合评分： 76 文章分类： 漏洞分析,WEB安全,渗透测试,安全开发,实战经验

某智慧能源管理平台0day*2

原创

wallkone wallkone

星络安全实验室

2026年6月6日 22:14 重庆

在小说阅读器读本章

去阅读

| | | — | | 免责声明:文章中涉及的漏洞均已修复，敏感信息均已做打码处理，文章仅做经验分享用途，未授权的攻击属于非法行为!文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责作者不为此承担任何责任，一旦造成后果请自行负责 |

session伪造

我们直接分析源码，发现是struts框架，直接搜索action,定位xml配置文件

这里我们发现namespace设置的根路径是struts-default未对这个路径进行鉴权，然后我们发现他调用的类基本上都是UserAction类型

<package name="systems"&nbsp;namespace="/systems"&nbsp;extends="struts-default">

我们直接跟入UserAction找到login方法，发现session的校验逻辑

采用实例化传参，我们跟进UserBean这个类，发现我们需要传参operId&operPwd这两个参数

在进行判断userBean.OperId是否等于ymadmin，等于就继续取pwd值

pwd与一个固定Ym头部加时间戳进行比较，将时间戳的点去除，取前10位进行比较

通过验证后，将session进行返回，并且返回3=3，代表成功创建session

我们拿到session后可以直接访问后台

后台sql注入

还是在UserAction类里面，有一个operIdVaild方法，接收两个参数id给guid，将参数传给了this.userDao.operIdVaild

我们跟进DAO层，找到operIdVaild方法，发现直接未经任何过滤的sql注入

我们验证他数据库名是否是master，结果为真

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：星络安全实验室 wallkone wallkone《某智慧能源管理平台0day*2》