记一次实战中对Ruoyi系统的渗透

 原文首发在：先知社区

https://xz.aliyun.com/t/15706

前言

最近碰到比较多Ruoyi的站，ruoyi的话漏洞还是比较多的，这里就分享一下自己渗透的一些案例吧，方便大家参考学习

首先声明

文章中涉及的敏感信息均已做打码处理，文章仅做经验分享用途，切勿当真，未授权的攻击属于非法行为！文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任，一旦造成后果请自行承担。

站点信息收集

语法很多，这里简单放一个

body="Ruoyi"

可以看见是很多的，然后就是进行一个小小渗透

druid弱口令爆破

1. druid控制台：ruoyi/123456，接口地址 /druid

遇到这样一个站点，我们一般的思路就是弱密码去爆破了

访问 /druid

就是一个典型的登录界面，尝试弱密码

可以发现登录成功了，这里就有很多的信息了

随便举一个例子吧

我们还可以重置

造成数据删除，危害还是很大的

默认密码保存登录后台

这个站点更离谱，我一进去就是有密码

然后如何去看密码可以是bp

任意文件下载

熟悉系统的都知道它是有个任意文件下载的，然后我们只需要遍历文件名就好了

这里放一下原理

在高版本对我们的path进行了检测，发现对..进行了过滤，所以不能再穿越目录下载任意文件了

低版本是没有这个的，实现如下

模板注入getshell

简单说一下原理

src\main\java\com\ruoyi\web\controller\monitor中有很多都是可以控制的返回值

可以看见可以传入String类型的参数

尝试触发漏洞

不过需要注意的是我们需要一些绕过

如 ${T (java.lang.Runtime).getRuntime().exec("calc.exe")} 。在T和(之间多加几个空格即可。
对Payload进行URL编码

或者请求方法修改等操作

至于getshell的话就是直接连自己服务器，不过不建议大家这样做，有风险，懂的都懂吧

用户信息泄露

还是有一些用户数据的可以看到

添加高权限用户

不过还是不要添加，只需要证明就ok了

最后

再次申明
文章中涉及的敏感信息均已做打码处理，文章仅做经验分享用途，切勿当真，未授权的攻击属于非法行为！文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任，一旦造成后果请自行承担。

如侵权请私聊我们删文