作者声明:
文章中涉及的敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担。
原创作者:ooyywwll
原文地址:https://xz.aliyun.com/t/15706
前言
最近碰到比较多Ruoyi的站,ruoyi的话漏洞还是比较多的,这里就分享一下自己渗透的一些案例吧,方便大家参考学习
站点信息收集
语法很多,这里简单放一个
body="Ruoyi"
可以看见是很多的,然后就是进行一个小小渗透
druid弱口令爆破
druid控制台:ruoyi/123456,接口地址 /druid
遇到这样一个站点,我们一般的思路就是弱密码去爆破了
访问 /druid
就是一个典型的登录界面,尝试弱密码
可以发现登录成功了,这里就有很多的信息了
随便举一个例子吧
我们还可以重置
造成数据删除,危害还是很大的
默认密码保存登录后台
这个站点更离谱,我一进去就是有密码
然后如何去看密码可以是bp
任意文件下载
熟悉系统的都知道它是有个任意文件下载的,然后我们只需要遍历文件名就好了
这里放一下原理
在高版本对我们的path进行了检测,发现对..进行了过滤,所以不能再穿越目录下载任意文件了
低版本是没有这个的,实现如下
模板注入getshell
简单说一下原理
src\main\java\com\ruoyi\web\controller\monitor中有很多都是可以控制的返回值
可以看见可以传入String类型的参数
尝试触发漏洞
不过需要注意的是我们需要一些绕过
如 ${T (java.lang.Runtime).getRuntime().exec("calc.exe")} 。在T和(之间多加几个空格即可。
对Payload进行URL编码
或者请求方法修改等操作
至于getshell的话就是直接连自己服务器,不过不建议大家这样做,有风险,懂的都懂吧
用户信息泄露
还是有一些用户数据的可以看到
添加高权限用户
不过还是不要添加,只需要证明就ok了
