开源协议:MIT
解释:MIT是和BSD一样宽松的许可协议,作者只想保留版权,而无任何其他了限制.也就是说,你必须在你的发行版里包含原许可协议的声明,无论你是以二进制发布的还是以源代码发布的。
(1)若依不分离版本
RuoYi是基于经典技术组合(Spring Boot、Apache Shiro、MyBatis、Thymeleaf)主要目的让开发者注重专注业务,降低技术难度,从而节省人力成本,缩短项目周期,提高软件安全质量。
Gitee开源地址:RuoYi: 基于SpringBoot的权限管理系统 易读易懂、界面简洁美观。 核心技术采用Spring、MyBatis、Shiro没有任何其它重度依赖。直接运行即可用
在线文档地址:http://doc.ruoyi.vip/ruoyi/
在线演示地址:登录若依系统
(2)若依前后端分离版本
RuoYi-Vue是一个 Java EE 企业级快速开发平台,基于经典技术组合(Spring Boot、Spring Security、MyBatis、Jwt、Vue),内置模块如:部门管理、角色用户、菜单及按钮授权、数据权限、系统参数、日志管理、代码生成等。在线定时任务配置;支持集群,支持多数据源,支持分布式事务。
Gitee开源地址:RuoYi-Vue: 基于SpringBoot,Spring Security,JWT,Vue &Element 的前后端分离权限管理系统
在线文档地址:介绍 | RuoYi
在线演示地址:若依管理系统
(3)若依微服务版本
RuoYi-Cloud 是一个 Java EE 分布式微服务架构平台,基于经典技术组合(Spring Boot、Spring Cloud &Alibaba、Vue、Element),内置模块如:部门管理、角色用户、菜单及按钮授权、数据权限、系统参数、日志管理、代码生成等。在线定时任务配置;支持集群,支持多数据源。
Gitee开源地址:RuoYi-Cloud: 基于Spring Boot、Spring Cloud &Alibaba的分布式微服务架构权限管理系统
在线文档地址:介绍 | RuoYi
在线演示地址:与前后端分离在线演示地址一样
(4)若依移动端版本
RuoYi-App 是若依的移动解决方案,采用uniapp框架,一份代码多终端适配,同时支持APP、小程序、H5!实现了与RuoYi-Vue平台 (opens new window)完美对接的移动解决方案!目前已经实现登录、我的、工作台、编辑资料、头像修改、密码修改、常见问题、关于我们等基础功能。
Gitee开源地址:RuoYi-App: 进群抢先体验 RuoYi APP 移动端框架,基于uniapp+uniui封装的一套基础模版,支持H5、APP、微信小程序、支付宝小程序等,实现了与RuoYi-Vue后台完美对接。
热门频道首页
博客
研修院
VIP
APP
问答
下载
社区
推荐频道
活动
招聘
专题
打开CSDN APP
Copyright © 1999-2020, CSDN.NET, All Rights Reserved
打开APP
若依(RuoYi)管理系统 后台任意文件读取 原创
2021-01-29 13:41:05
1点赞
PeiQi_WiKi
码龄3年
关注
若依(RuoYi)管理系统 后台任意文件读取
在这里插入图片描述
漏洞描述
若依管理系统是基于SpringBoot的权限管理系统,登录后台后可以读取服务器上的任意文件
漏洞影响
RuoYi <v4.5.1
FOFA
app=“若依-管理系统”
漏洞复现
登录后台后访问 Url
https://xxx.xxx.xxx.xxx/common/download/resource?resource=/profile/…/…/…/…/etc/passwd
在这里插入图片描述
访问后会下载文件 /etc/passwd
在这里插入图片描述
可以使用Burp抓包改变 /etc/passwd 为其他文件路径获取敏感信息
在这里插入图片描述
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5OnCa0sG-1611898617617)(image/ruoyi-5.png)]
在新版本的修复中添加了过滤
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-20YKs1mX-1611898617618)(image/ruoyi-7.png)]
漏洞利用POC
POC使用需要后台的Cookie,读取的文件路径应为根路径
在这里插入图片描述
在这里插入图片描述
打开CSDN APP,看更多技术内容
POC_若依管理系统_李白你好的博客
POC_若依管理系统指纹- fingerPOC若依管理系统 未授权访问若依(RuoYi)管理系统 后台任意文件读取指纹- finger查看网页源代码找到唯一标识——finger多打开几个相同的网页找出共同标识<title>若依管理系统</title>通过指纹批量...
继续访问
RuoYi若依框架学习:读取配置文件_mengjie0617的博客_若依 读
![js 中判断字符不包含[]的正则表达式怎么写?](/aiimages/js+%E4%B8%AD%E5%88%A4%E6%96%AD%E5%AD%97%E7%AC%A6%E4%B8%8D%E5%8C%85%E5%90%AB%5B%5D%E7%9A%84%E6%AD%A3%E5%88%99%E8%A1%A8%E8%BE%BE%E5%BC%8F%E6%80%8E%E4%B9%88%E5%86%99%EF%BC%9F.png)
