若依框架,疑似有shell攻击(植入挖矿木马)漏洞

最新推荐文章于 2024-05-25 19:27:31 发布
最新推荐文章于 2024-05-25 19:27:31 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: 配置文件 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/poker_zero/article/details/130108700
版权

漏洞重现步骤:

1.nacos的application-dev.yml配置文件,actuator监控端点暴露是全部端点。

在这里插入图片描述

2.启动ruoyi-gateway服务,占用8080端口。

在这里插入图片描述

3.访问http://localhost:8080/actuator地址,发现actuator的端点是全部暴露的。

在这里插入图片描述

4.访问http://localhost:8080/actuator/env地址,发现一些非常敏感信息泄露了;比如redis的密码,网关路由的配置等等。

在这里插入图片描述

5.对其他薇服务访问,因为在网关服务校验了登录授权,但只要是随便一个已授权登录用户,也都可以访问任意微服务暴露的端点。

建议:

1.在application-dev.yml配置文件,默认只暴露health端点;避免一些对actuator不了解的小伙伴, 在没有开启actuato认证授权情况下,直接使用了application-dev.yml上暴露全部端点的配置。

在这里插入图片描述

2.这个在部署的时候nginx可以做一下屏蔽

# 避免actuator暴露
if ($request_uri ~ "/actuator") {
    return 403;
}
零
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
若依框架漏洞(若依管理框架漏洞复现)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
03-28 4294
若依框架是一个 Java EE 企业级快速开发平台,基于经典技术组合(Spring Boot、Apache Shiro、MyBatis、Thymeleaf、Bootstrap),内置模块如:部门管理、角色用户、菜单及按钮授权、数据权限、系统参数、日志管理、通知公告等。在线定时任务配置;支持集群,支持多数据源,支持分布式事务。若依框架漏洞默认口令漏洞早期若依框架漏洞版本有反序列化漏洞 ,执行任意命令,漏洞复现,祭出fofa大法,fofa语法如下
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
12-16
在描述中,“若依框架”是一个基于Spring Boot的开源企业级快速开发平台,它也受到了Log4j漏洞的影响。因此,若依框架的用户需要及时下载并部署log4j2.16.0,以保护他们的系统免受潜在的攻击。通常,更新Log4j2的...
实战Src对ruoyi框架管理系统漏洞复现
zkaqlaoniao的博客
12-18 3716
在挖src的时候,搜搜有没有后台弱口令能进去的:发现一个弱口令进去后:【这个蓝色的草丛居然堪比算是ruoyi的指纹】看这界面,是不是很像ruoyi插件一看:前端vue.js加上登录的cookie rememberMe:【登录失败时bp抓包相应包有remeberMe=delete】得知登录为shiro框架八九不离十后台就是ruoyi框架的管理系统了。
若依系统前后台漏洞大全
热门推荐
FY10033的博客
08-07 4万+
漏洞影响范围RuoYi
ruoyi漏洞poc汇总及其原理分析(源码分析)
最新发布
问彡心的博客
05-25 2047
汇总网上常见的若依漏洞poc,根据不同版本的参照对比,分析每个漏洞在不同版本中的代码表现形式,学习这些漏洞后台的代码是如何编写的以及如何进行修复的
Nginx配置微服务避免actuator暴露
zy08403的专栏
10-18 1247
微服务一般在扫漏洞的情况下,需要屏蔽actuator健康检查。# 避免actuator暴露。
漏洞复现-Ruoyi若依系列
aming小老弟
05-02 2万+
官方漏洞历史文档。
渗透测试--实战若依ruoyi框架
qq_53003652的博客
11-16 4431
最近在挖某src的时候,碰到了一套若依,本以为啥都没有,结果随手一测若依存在的历史漏洞基本都有。是通过很奇怪的信息收集方式找到这个站的,分享出来让大家看看。老司机一看就明白了我在找什么,虽然说机会不大,但偏偏就让我遇到了。
若依后台管理系统 v4.1
09-29
总的来说,“若依后台管理系统 v4.1”是一个全面、实用的后台管理框架,适合需要快速搭建高效管理平台的开发团队或个人。通过其强大的功能和友好的开发者体验,可以帮助开发者节省大量的时间和精力,专注于业务逻辑...
基于Shell的网络自动化解决方案框架NetAxe设计源码
05-25
本源码为基于Shell的网络自动化解决方案框架NetAxe设计,包含16个YAML文件、6个JSON文件等,共48个文件。该项目旨在为用户提供一个全面、便捷的网络自动化解决方案,通过Shell技术的结合,为用户带来高效的使用体验...
修复bash漏洞shell脚本分享
09-04
主要介绍了修复bash漏洞shell脚本分享,本文脚本适应常见的linux服务器系统,如CentOS、Debian、Ubuntu、OpenSuSE、Aliyun等系统,需要的朋友可以参考下
漏洞挖掘 | ruoyi框架管理系统漏洞
2301_80127209的博客
04-01 3091
在挖src的时候,可以通过信息收集收集弱口令,然后通过后台弱口令进入后台:发现一个弱口令进去后:【魔方老师提醒才发现,这个蓝色的草丛其实可以大致判断是若依系统】看这界面,是不是很像ruoyi插件一看:前端vue.js加上登录的cookie rememberMe:【登录失败时bp抓包相应包有remeberMe=delete】得知登录为shiro框架八九不离十后台就是ruoyi框架的管理系统了。
SpringBoot应用监控Actuator合理使用避免安全问题
zhonghua881016的博客
11-06 453
使用springboot时,我们在开发环境或者生产环境上使用一些Actuator一些端点,如何做到安全暴露。
若依框架漏洞(若依管理系统漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-04 8040
若依管理系统是基于SpringBoot的权限管理系统,若依框架漏洞推荐使用zhzy的vulmap工具查看。 1.早期若依框架漏洞版本有反序列化漏洞 ,执行任意命令漏洞复现 祭出fofa大法,fofa语法如下 app="若依-管理系统" && body="admin" 利用工具检测漏洞 这里不提供,太多了,推荐使用zhzy的vulmap 利用poc执行任意命令 2后台登录若依管理系统后可以任意读取文件
RuoYi 逻辑缺陷漏洞分析
afeng12345678的博客
07-31 2271
若依逻辑缺陷漏洞分享。漏洞为本人原创,转载请注明出处。
若依集成actuator实现优雅关闭应用
猿小白的博客
04-21 1385
在Spring Boot应用中,只需要依赖组件spring-boot-starter-actuator。它提供了很多监控和管理你的Spring Boot应用的HTTP或者JMX端点,并且你可以有选择地开启和关闭部分功能。当你的Spring Boot应用中引入依赖之后,将自动拥有审计、健康检查、Metrics监控等功能。 目录 一、添加actuator依赖 二、添加actuator配置 三、添加匿名访问配置 四、Post请求测试验证优雅停机 一、添加actuator依赖 在ruoyi-adm.
若依漏洞利用方式总结
RisunJan的博客
01-14 3204
声明:此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
【代码审计】后台Getshell的两种常规姿势
04-15 1675
0x00 前言 在早些年刚接触web安全的时候,基础套路都是找注入--找后台--找上传点--找数据库备份--Getshell,然而在代码审计的角度,也存在类似的基本操作。 这里结合代码实例介绍白盒Getshell的两种常规姿势:写入配置文件Getshell、模块安装Getshell。 0x01 环境搭建 Doccms官网:http://www.doccms.com程序源码:D...
若依框架的暴力破解漏洞
千寻的博客
11-23 2063
由于图片验证码未做好`前后台的统一校验`,可重复利用验证码,以及无登录错误次数限制等,导致攻击者可对账号与密码进行的穷举测试,从而获取网站登录访问权限
若依框架中使用Avue.js
09-04
Avue.js 是一个基于 Vue.js 的前端 UI 组件库,它提供了丰富的组件和工具,以简化前端开发。若要在你的项目中使用 Avue.js,你可以按照以下步骤进行操作: 1. 安装 Avue.js: ```shell npm install avue-cli -g ``` 2. 在你的项目中创建一个新的 Avue.js 项目: ```shell avue init your-project-name ``` 3. 进入项目目录: ```shell cd your-project-name ``` 4. 启动项目: ```shell npm run dev ``` 5. 在你的 Vue 组件中引入和使用 Avue.js 的组件。 例如,在你的 Vue 组件中,可以这样引入一个 Avue.js 的表格组件: ```js import { AvTable } from 'avue-cli' ``` 然后,在模板中使用该组件: ```html <av-table :data="tableData" :columns="tableColumns"></av-table> ``` 这只是一个简单的示例,你可以根据你的具体需求,使用 Avue.js 提供的其他组件和工具来实现更复杂的功能。希望这能帮助到你!如果有任何问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

零

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值