漏洞复现-Ruoyi若依系列

原创

已于 2024-11-14 06:20:58 修改 · 2.3w 阅读

28 ·

CC 4.0 BY-SA版权

amingMM

文章标签：

#安全

于 2022-05-02 13:02:41 首次发布

本文详细介绍了Ruoyi框架中的安全漏洞，包括弱口令问题、CMS 4.6.0后台RCE漏洞，以及如何通过反射+Yaml实现代码执行。通过对源码的分析，揭示了反射Runtime和ProcessBuilder执行命令的失败原因，并利用Yaml类构造了payload成功反弹shell。同时，文章还探讨了Thymeleaf注入的代码执行漏洞，展示了如何绕过thymeleaf的检测规则并执行SpringEL表达式。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

在这里插入图片描述

在这里插入图片描述

Ruoyi-Vue版本

ruoyi-common模块

修改了LoginUser的包路径
ruoyi里面Redis使用FastJson序列化，FastJson支持AutoType功能，这个功能在序列化的JSON字符串中带上类型信息，在反序列化时，不需要传入类型，实现自动类型识别。
ruoyi在Constants里面规定了需要支持自动类型的类名前缀
                         
com.alibaba.fastjson2.JSONObject cannot be cast to domain.model.LoginUser

public static final String[] JSON_WHITELIST_STR = {
   
    "org.springframework", "com.ruoyi" };
解决方法：只需要把这个常量里面的com.ruoyi修改为修改后的路径，例如com.mypack

ruoyi-system模块

ruoyi-framework模块

Java提高_若依——Ruoyi监控部分源码分析

在这里插入图片描述

Java提高_若依——Ruoyi表单创建-定时任务-系统接口演示

在这里插入图片描述

https://doc.ruoyi.vip/ruoyi/document/kslj.html#%E5%8E%86%E5%8F%B2%E6%BC%8F%E6%B4%9E

官方漏洞历史文档

弱口令初始密码

admin admin123

CMS 4.6.0 后台RCE

反射+Yaml达到的代码执行

若依管理后台-系统监控-定时任务-新建，发现有个调用目标字符串的字段。

在这里插入图片描述

查看定时任务的具体代码，定位到
ruoyi-quartz/src/main/java/com/ruoyi/quartz/util/JobInvokeUtil.java。

假设我们输入com.hhddj1.hhddj2.hhddj3()

经解析后

beanName为com.hhddj1.hhddj2
methodName为hhddj3
methodParams为[]

 /**
 * 执行方法
 *
 * @param sysJob 系统任务
 */
public static void invokeMethod(SysJob sysJob) throws Exception
{
   
   
    String invokeTarget = sysJob.getInvokeTarget();
    String beanName = getBeanName(invokeTarget);
    String methodName = getMethodName(invokeTarget);
    List&