若依 | CN-SEC 中文网

安全文章

记一次手把手带学员拿下600赏金

前言这是一份价值600的赏金报告嘿嘿过年的时候深情哥跟着学员一起挖了一下补天，这个报告比较有意思，给大家分享一下。漏洞详情 1.打开小程序 2.登陆然后抓包,然后点点，发现接口很熟悉，这一眼不就是...

04月08日9 views评论

阅读全文

代码审计

若依 RuoYi4.6.0 代码审计

环境布置：到官网下载源码：https://github.com/yangzongzhuan/RuoYi采用phpstudy集成数据库，5.7版本。JDK1.8。IDEA打开项目，等待自动加载，修改ap...

11月01日22 views评论

阅读全文

安全文章

实战 | 若依SSTI注入绕过玄某盾

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！前言前几天挖src，遇到4.7.1版本的若依系统https://github.com/yangzongzhuan/RuoYi-fast ，此版...

09月29日20 views评论

阅读全文

安全文章

若依4.7.8版本计划任务rce复现

0x00 背景最近项目中发现很多单位都使用了若依二开的系统，而最近若依有个后台计划任务rce的漏洞，比较新，我还没复现过，于是本地搭建一个若依环境复现一下这个漏洞。这个漏洞在4.7.8版本及之前都存...

07月12日131 views评论

阅读全文

安全文章

若依刷洞技巧分享

No.0 若依刷洞技巧若依框架弱口令+未授权漏洞+ Druid 查找敏感信息若依采用前后端分离，一般可以通过接口获取信息 icon搜索黑若依:icon_hash="-1231872293" 绿若...

05月16日120 views评论

阅读全文

安全工具

【神兵利器】若依最新定时任务RCE一键利用

免责声明文章所涉及内容，仅供安全研究与教学之用，由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具介绍项目地址： https:/...

03月09日151 views评论

阅读全文

安全文章

实战 | 若依框架的杀猪交易所系统管理后台

前言这次是带着摸鱼的情况下简单的写一篇文章，由于我喜欢探究黑灰产业，所以偶尔机遇下找到了一个加密H币的交易所S猪盘，我记得印象是上年的时候就打过这一个同样的站，然后我是通过指纹查找其它的一些站，那个...

03月08日31 views评论

阅读全文

安全文章

若依框架漏洞合集

首先上若依官网下载源码，官网地址：https://gitee.com/y_project/RuoYi 我选择下载使用的ruoyi V4.51、安装MySQL数据库。在本地安装MySQL数据库，我使用的...

02月29日61 views评论

阅读全文

安全漏洞

若依管理系统存在任意文件读取漏洞CNVD-2021-15555 附POC

@[toc] 若依管理系统存在任意文件读取漏洞附POC 免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责...

12月06日183 views评论

阅读全文

安全文章

若依漏洞利用工具魔改

尽人事以听天命若依漏洞利用工具魔改漏洞检测snakeyaml 远程命令执行Thymeleaf模板注入报错注入tools报错注入util报错注入tool布尔盲注tool文件下载jdbcTemplate ...

02月16日733 views评论

阅读全文

代码审计

某依后台RCE分析

漏洞标题：若依后台RCE漏洞类型：命令执行漏洞等级：严重影响范围：RuoYi<=4.6.2简要描述：由于若依后台计划任务处，对于传入的"调用目标字符串"没有任何校验，导致攻击者可以调用任意类、方...

12月26日680 views评论

阅读全文

代码审计

若依CMS 0day 任意文件读取 or 未授权访问

若依管理系统后台任意文件读取POC：https://xxx.xxx.xxx.xxx/common/download/resource?resource=/profile/../../../../etc...

04月22日1,854 views评论

阅读全文

在线咨询

微信