小白可用 | 若依最新后台RCE漏洞利用工具

最新推荐文章于 2024-04-14 05:35:53 发布
最新推荐文章于 2024-04-14 05:35:53 发布
阅读量1k 收藏 8
点赞数 10
文章标签: 网络安全 测试工具 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bobo_patrick/article/details/136523899
版权

0x01 前言

若依最新后台定时任务SQL注入可导致RCE漏洞的一键利用工具, 扫描和漏洞利用结束会自行删除所创建的定时任务。

0x02 工具使用说明

单个检测

因为该漏洞需要登陆后台触发,所以我们需要配置Cookie请求头,点击设置-->请求头设置-->添加Cookie即可,添加完成即可进行漏洞检测

图片

图片

漏洞利用

当定时任务存在SQL注入时,我们可以使用JNDI进行漏洞利用,首先我们需要下载cckuailong师傅的JNDI-Injection-Exploit-Plus项目(https://github.com/cckuailong/JNDI-Injection-Exploit-Plus/releases/tag/2.3)。

 java8 -jar JNDI-Injection-Exploit-Plus-2.3-SNAPSHOT-all.jar -C calc -A 127.0.0.1

图片

然后我们使用该工具的JNDI模块进行一键利用

图片

0x03 工具下载

微信公众号: 关注Sec探索者, 回复RuoYiExploitGUI领取工具

Sec探索者
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
RuoYiExploitGUI:一款高效易用的漏洞利用工具
gitblog_00059的博客
04-22 306
RuoYiExploitGUI:一款高效易用的漏洞利用工具 项目地址:https://gitcode.com/charonlight/RuoYiExploitGUI 项目简介 RuoYiExploitGUI 是一个基于Python的图形化界面工具,主要用于自动化测试和利用RuoYi框架相关的安全漏洞。该项目的目标是为安全研究人员提供一个简单、直观的平台,以加速漏洞检测过程,提高工作效率。 技术分析...
若依漏洞综合利用工具
Javachichi的博客
11-15 2244
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(都打包成一块的了,不能一一展开,总共300多集)
若依漏洞综合利用工具_若依综合利用工具,2024百度HarmonyOS鸿蒙岗面试真题收录解析
最新发布
2401_84181606的博客
04-14 353
这里问一下,大家五一都在做什么,我在做什么想必你们也知道了哈哈,兄弟们多多支持,欢迎转发分享!网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。希望大家多多支持转发分享,后续有时间会持续开发比较有价值的工具或魔改一些工具,解决兄弟们在一线红队实战中比较麻烦的点。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。(都打包成一块的了,不能一一展开,总共300多集)
若依系统前后台漏洞大全
热门推荐
FY10033的博客
08-07 4万+
漏洞影响范围RuoYi
最新Ruoyi组合拳RCE分析
2401_83799022的博客
03-25 897
直接执行sql来更改定时任务内容,从而绕过黑白名单的限制。最新版ruoyi rce的方法依旧是在定时任务处:定时任务中可以调用特定包内的bean,通过。众所周知,ruoyi计划任务能调用bean或者class类,这里就是通过调用。此时任务3的调用字符串已经是Jndi payload了,后面直接通过。添加任务:修改id为3的计划任务为jndi payload,并执行。在启动类中我们可以修改代码如下,打印出项目中所有加载的bean,的配置文件为任意想要读取的文件即可,也就达到了任意文件读取效果。
若依框架快速开发项目(不涉及底层逻辑,只是简单使用)
IT小辉同学
05-16 3万+
借用官网的介绍,若依其实有点像低代码平台!若依分为基础版,分离版,微服务版本,大家可能刚刚上手,就会直接使用分离版,也就是ruoyi-Vue,由于基础版这种架构方式已经不再推荐,很少去用的,现在都是分离版,大一点的项目就是微服务版本!主要特性完全响应式布局(支持电脑、平板、手机等所有主流设备)强大的一键生成功能(包括控制器、模型、视图、菜单等)支持多数据源,简单配置即可实现切换。支持按钮及数据权限,可自定义部门数据权限。对常用js插件进行二次封装,使js代码变得简洁,更加易维护。
从代码审计的角度分析 Ruoyi v4.7.6 的任意文件下载漏洞
新青年1号
05-26 3241
从代码审计的角度看 Ruoyi v4.7.6 任意文件下载漏洞
向日葵RCE漏洞(CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞(CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
向日葵RCE漏洞一键批量自己检测工具
02-25
测试自己向日葵是否存在RCE漏洞
NGINX-RCE:nginx的rce漏洞利用
04-04
NGINX-RCE nginx的rce漏洞利用怎么运行呢? 首先只需使用gcc gcc expl0itz.c -o expl0itz 然后chmod chmod +x expl0itz 像二进制文件一样运行之后! ./expl0itz
RCE_1131:iOS 11.3.1 RCE漏洞利用
04-28
漏洞利用通过两个已知的错误从WebContent沙箱(即从网站)获得tfp0:CVE-2018-4233(由saelo发现,由ZDI报告,由niklasb进行利用)和CVE-2018-4243(由Ian Beer进行的empty_list利用) ),两者均已在11.4中修复...
TDOA_RCE:通达OA综合利用工具
03-03
这两个突破的利用方式集成在了“获取Cookie”按钮上共计6个POC,其中任意一个POC利用成功的都会自动停止,并自动填充有效的Cookie到工具上获取有效的Cookie后,可以选择后台文件发布一键利用如目标存在弱密码,可...
(超详解)RUOYI 教程(快熟搭建开发环境,敏捷开发,做私活超级好用)
weixin_46991199的博客
08-10 3195
java 开源后台管理系统,内置系统级功能,支持代码生成,少代码开发的成熟框架。每个公司需要的业务模块不同,这里需要自定义。【二】重启项目,如果热部署,重新加载即可;【一】代码生成器的使用。
若依管理系统后台sql注入漏洞分析
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-23 2010
本文以RuoYi为例学习并整理了基于Mybatis框架的sql注入原理和场景,为高效快速挖掘基于Mybatis框架的sql注入提供一种思路和参考。若依管理系统是基于SpringBoot框架开发的,并利用MyBatis框架进行数据库操作。在RuoYi
【2024版】最新多款渗透测试实用原创工具来袭!
wuli1024的博客
11-16 82
工具均使用java开发,环境要求:JDK1.8版本java -jar “文件名” 即可打开图形化界面。注意查看"必看操作说明"模块。
记一次若依后台管理系统渗透
蚁景网安学院
03-24 2238
最近客户开始hw前的风险排查,让我们帮他做个渗透测试,只给一个单位名称。通过前期的信息收集,发现了这个站点,没有验证码,再加上这个图标,吸引了我注意。
亲测好用的开发工具【1】 RuoYi-MT
谢谢你们的关注
11-19 2314
亲测好用的开发工具【1】 RuoYi-MT
若依框架,疑似有shell攻击(植入挖矿木马)漏洞
poker_zero的博客
04-12 1169
nacos的application-dev.yml配置文件,actuator监控端点暴露是全部端点。
Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞【原理扫描】
Gblfy_Blog
12-06 4164
文章目录一、分析定位1. 漏洞描述2. 项目引发漏洞简述二、解决方案2.1. 若依系统2.2. Gus系统 一、分析定位 1. 漏洞描述 目前厂商已经发布了新版本修复这个安全问题,请到厂商的主页下载: https://issues.apache.org/jira/browse/SHIRO-550 https://shiro.apache.org/download.html 2. 项目引发漏洞简述 若依/Guns管理系统使用了Apache Shiro,Shiro 提供了记住我(RememberM
pikachu靶场RCE漏洞
10-13
这是一个关于Pikachu靶场的RCE漏洞的问题。Pikachu靶场是一个用于渗透测试和漏洞研究的虚拟机,而RCE漏洞则是一种远程代码执行漏洞,攻击者可以利用该漏洞在受害者系统上执行任意代码。 针对这个问题,我建议您可以参考以下步骤来修复该漏洞: 1. 确认漏洞是否存在:可以通过手动或自动化的方式对系统进行扫描,以确认是否存在该漏洞。 2. 更新相关软件:如果发现存在漏洞,应及时更新相关软件版本,以修复漏洞。 3. 配置安全策略:可以通过配置安全策略来限制攻击者对系统的访问权限,从而减少漏洞被利用的风险。 4. 加强监控:可以通过加强监控来及时发现并阻止攻击行为,从而保护系统安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值