本文主要是介绍JavaWeb代码审计实战之若依管理系统,细节满满的万字文章,非常值得好好进阶学习的一个系统哦!!!,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
前言:
【如需转载,请详细表明来源,请勿设置原创】
嗨,大家好,我是闪石星曜CyberSecurity创始人Power7089。
欢迎大家搜索关注 “闪石星曜CyberSecurity” ,这里专注分享渗透测试,Java代码审计,PHP代码审计等内容,都是非常干的干货哦。
炼石计划理念:一个系统化从入门到提升学习的成长型知识星球。这里不仅注重夯实基础,更加专注实战进阶。
今天为大家带来的是一篇实战代码审计若依管理系统的一篇文章,若依管理系统也是现在比较常用的一个系统了。非常有必要好好学习研究一下。
一、项目简介
RuoYi 是一个 Java EE 企业级快速开发平台,基于经典技术组合(Spring Boot、Apache Shiro、MyBatis、Thymeleaf、Bootstrap),内置模块如:部门管理、角色用户、菜单及按钮授权、数据权限、系统参数、日志管理、通知公告等。在线定时任务配置;支持集群,支持多数据源,支持分布式事务。
内置功能详解如下:
- 用户管理:用户是系统操作者,该功能主要完成系统用户配置。
- 部门管理:配置系统组织机构(公司、部门、小组),树结构展现支持数据权限。
- 岗位管理:配置系统用户所属担任职务。
- 菜单管理:配置系统菜单,操作权限,按钮权限标识等。
- 角色管理:角色菜单权限分配、设置角色按机构进行数据范围权限划分。
- 字典管理:对系统中经常使用的一些较为固定的数据进行维护。
- 参数管理:对系统动态配置常用参数。
- 通知公告:系统通知公告信息发布维护。
- 操作日志:系统正常操作日志记录和查询;系统异常信息日志记录和查询。
- 登录日志:系统登录日志记录查询包含登录异常。
- 在线用户:当前系统中活跃用户状态监控。
- 定时任务:在线(添加、修改、删除)任务调度包含执行结果日志。
- 代码生成:前后端代码的生成(java、html、xml、sql)支持CRUD下载 。
- 系统接口:根据业务代码自动生成相关的api接口文档。
- 服务监控:监视当前系统CPU、内存、磁盘、堆栈等相关信息。
- 缓存监控:对系统的缓存查询,删除、清空等操作。
- 在线构建器:拖动表单元素生成相应的HTML代码。
- 连接池监视:监视当前系统数据库连接池状态,可进行分析SQL找出系统性能瓶颈。
二、项目搭建
1、环境要求
JDK >= 1.8 (推荐1.8版本)
Mysql >= 5.7.0 (推荐5.7版本)
Maven >= 3.0
2、Windows环境的项目部署流程
基于windows10操作系统。
①、命令行进入Mysql,创建数据库名为ry,并切换使用该数据库。
create datavase ry; 创建名为ry的数据库
use ry; 切换使用ry数据库
②、将项目文件中的/sql/ry_20200323.sql的数据导入到ry数据库,注意导入路径中应使用正斜杠/。
source /绝对路径/sql/ry_20200323.sql; 导入数据库文件
③、使用IDEA打开本项目,等待Maven自动加载依赖项,如果时间较长需要自行配置Maven加速源。几个现象表明项目部署成功。pom.xml文件无报错,项目代码已编译为class,Run/Debug Configurations...处显示可以运行。
④、修改src\main\resources\application-druid.yml配置文件内容,具体如下图所示:
⑤、点击启动Run/Debug Configurations...本项目。
⑥、项目访问地址如下:
- 后台地址:
http://127.0.0.1:8088/login
记得自己配下端口号,默认的是80端口。
⑦、登录账号密码admin\admin123。
3、Linux环境的项目部署流程
基于VMware虚拟机中的搭建的Ubuntu20操作系统
注意:以下步骤需要Ubuntu系统中安装所需的软件,可参考星球之前发的一篇文章:https://t.zsxq.com/Ea6qF6Y
本项目的默认打包方式就是JAR形式。并且本项目构建为SpringBoot多模块形式。我们所需要的运行的Jar程序打包在了RuoYi-v4.2/ruoyi-admin/target目录下。
整体部署流程如下:
①、使用IDEA打开项目,我们修改一下数据源链接地址。如下图所示:
我为了方便,将数据源直接连接到了Windows下mysql,也就是PHPstaduy一键启动的。如果你也想这样做,请注意以下几点:
- 宿主机和虚拟机需要在同一网段下,简单来说就是能互相ping通。
- Mysql启用远程访问,命令如下:
GRANT ALL PRIVILEGES ON *.* ‘root’@’%’ identified by ‘root’ WITH GRANT OPTION;
flush privileges;
②、使用Maven打包项目,选择若依总项目,依次点击clean和package,如下图所示:
③、我们将最终生成的ruoyi-admin.jar文件,复制粘贴到Ubuntu中。
④、在此,我们使用sudo java -jar ruoyi-admin.jar运行项目。如下图所示:
⑤、最后我们就可以正常访问了。
⚠️注意:
java -jar启动若依项目需要管理员权限,因此要在前面加上sudo,如果报错说找不到命令。需要修改/etc/sudoers文件中Defaults secure_path位置,在后面加上java路径,如下图所示:
sudo vim /etc/sudoers 打开该文件
- 如果想要在其他环境中访问ruoyi,需要关闭防火墙,或者激活特定端口。偷个懒,直接关闭防火墙。
sudo ufw disable 关闭防火墙
三、代码审计漏洞挖掘
1、第三方组件漏洞审计
本项目使用Maven构建的。因此我们直接看pom.xml文件引入了哪些组件。通过IDEA打开该若依,发现本项目采用了多模块方式。因此每个模块下都会有一个pom.xml,项目最外层的pom.xml为父POM。我们可以通过pom.xml或者External Libraries来确定引入组件的版本,具体整理如下:
| 组件名称 | 组件版本 | 是否存在漏洞 |
|---|---|---|
| shiro | 1.4.2 | 存在 |
| thymeleaf | 2.0.0 | 存在 |
| druid | 1.1.14 | 不存在 |
| mybatis | 1.3.2 | 不存在 |
| bitwalker | 1.19 | 不存在 |
| kaptcha | 2.3.2 | 不存在 |
| swagger | 2.9.2 | 不存在 |
| pagehelper | 1.2.5 | 不存在 |
| fastjson | 1.2.60 | 存在 |
| oshi | 3.9.1 | 不存在 |
| commons.io | 2.5 | 存在 |
| commons.fileupload | 1.3.3 | 不存在 |
| poi | 3.17 | 存在 |
| velocity | 1.7 | 存在 |
| snakeyaml | 1.23 | 存在 |
等等。
经过整理,我们发现本项目存在漏洞的组件为:Shiro 1.4.2,Thymeleaf 2.0.0,Fastjson 1.2.60,Commons.io 2.5,oi 3.17,velocity 1.7,snakeyaml 1.23…
通过版本号进行初步判断后,我们还需再进一步验证。
2、组件漏洞代码审计
针对存在漏洞的组件进行代码审计
2.1、Shiro组件漏洞代码审计
本项目使用了Shiro 1.4.2。Shiro在 1.4.2 到 1.8.0版本都是存在权限绕过的问题。
在代码审计中,我们主要关注Shiro配置文件,一般文件名为ShiroConfig。本项目Shiro配置文件位于RuoYi-v4.2\ruoyi-framework\src\main\java\com\ruoyi\framework\config\ShiroConfig.java。
进入Shiro配置文件,我们关注对资源访问的拦截器配置,位于第231行 ~ 276行。发现第272行作者使用了/**表达式,对路径进行拦截。因此,本项目不存在Shiro权限绕过的漏洞的。如下图所示:
关于shiro的拦截匹配模式,Shiro的URL路径表达式为Ant格式有如下解释:
/hello:只匹配url,比如 http://7089.com/hello
/h?:只匹配url,比如 http://7089.com/h+任意一个字符
/hello/*:匹配url下,比如 http://7089.com/hello/xxxx 的任意内容,不匹配多个路径
/hello/**:匹配url下,比如 http://7089.com/hello/xxxx/aaaa 的任意内容,匹配多个路径
2.2、Fastjson组件漏洞代码审计
本项目使用了Fastjson 1.2.60,Fastjson <= 1.2.68都是存在漏洞的。
已确定了Fastjson版本存在问题,进一步寻找触发Fastjson的漏洞点。我们关注两个函数parse和parseObject。
搜索关键字发现本项目使用了parseObject,如下图所示:
这篇关于JavaWeb代码审计实战之若依管理系统,细节满满的万字文章,非常值得好好进阶学习的一个系统哦!!!的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
