演练学习笔记之ruoyi
💡
原文中文,约4200字,阅读约需10分钟。
📝
内容提要
本文介绍了搭建靶场来复现和修复ruoyi漏洞的方法,包括靶场搭建、漏洞利用和修复方式。漏洞包括shiro漏洞、弱口令、命令执行、代码执行、SSTI、文件下载、SQL注入、文件读取漏洞及bypass。修复方式包括升级版本、修改密钥、添加文件下载验证、升级thymeleaf组件版本等。
🎯
关键要点
- 本文介绍了搭建靶场复现和修复ruoyi漏洞的方法。
- 漏洞包括shiro漏洞、弱口令、命令执行、代码执行、SSTI、文件下载、SQL注入、文件读取漏洞及bypass。
- 修复方式包括升级版本、修改密钥、添加文件下载验证、升级thymeleaf组件版本等。
- 环境搭建需要下载特定版本的RuoYi并配置数据库。
- 前台shiro反序列化漏洞的修复需要正确生成和使用密钥。
- 后台默认口令漏洞可以通过修改密码功能修复。
- 文件读取漏洞的修复建议升级RuoYi版本并添加文件下载验证。
- SQL注入漏洞的修复需要升级到最新版本并注意字符串拼接。
- 后台命令执行漏洞需要通过外部jar包执行命令,修复建议增加调用白名单。
- SSTI漏洞的修复建议升级thymeleaf组件版本并限制接口访问。
➡️
