JavaWeb代码审计实战之若依管理系统，细节满满的万字文章，非常值得好好进阶学习的一个系统哦！！！

JavaWeb代码审计实战之若依管理系统，细节满满的万字文章，非常值得好好进阶学习的一个系统哦！！！

前言：

【如需转载，请详细表明来源，请勿设置原创】

嗨，大家好，我是闪石星曜CyberSecurity创始人Power7089。

欢迎大家搜索关注 “闪石星曜CyberSecurity” ，这里专注分享渗透测试，Java代码审计，PHP代码审计等内容，都是非常干的干货哦。

炼石计划理念：一个系统化从入门到提升学习的成长型知识星球。这里不仅注重夯实基础，更加专注实战进阶。

今天为大家带来的是一篇实战代码审计若依管理系统的一篇文章，若依管理系统也是现在比较常用的一个系统了。非常有必要好好学习研究一下。

一、项目简介

RuoYi 是一个 Java EE 企业级快速开发平台，基于经典技术组合（Spring Boot、Apache Shiro、MyBatis、Thymeleaf、Bootstrap），内置模块如：部门管理、角色用户、菜单及按钮授权、数据权限、系统参数、日志管理、通知公告等。在线定时任务配置；支持集群，支持多数据源，支持分布式事务。

内置功能详解如下：

1. 用户管理：用户是系统操作者，该功能主要完成系统用户配置。
2. 部门管理：配置系统组织机构（公司、部门、小组），树结构展现支持数据权限。
3. 岗位管理：配置系统用户所属担任职务。
4. 菜单管理：配置系统菜单，操作权限，按钮权限标识等。
5. 角色管理：角色菜单权限分配、设置角色按机构进行数据范围权限划分。
6. 字典管理：对系统中经常使用的一些较为固定的数据进行维护。
7. 参数管理：对系统动态配置常用参数。
8. 通知公告：系统通知公告信息发布维护。
9. 操作日志：系统正常操作日志记录和查询；系统异常信息日志记录和查询。
10. 登录日志：系统登录日志记录查询包含登录异常。
11. 在线用户：当前系统中活跃用户状态监控。
12. 定时任务：在线（添加、修改、删除)任务调度包含执行结果日志。
13. 代码生成：前后端代码的生成（java、html、xml、sql）支持CRUD下载 。
14. 系统接口：根据业务代码自动生成相关的api接口文档。
15. 服务监控：监视当前系统CPU、内存、磁盘、堆栈等相关信息。
16. 缓存监控：对系统的缓存查询，删除、清空等操作。
17. 在线构建器：拖动表单元素生成相应的HTML代码。
18. 连接池监视：监视当前系统数据库连接池状态，可进行分析SQL找出系统性能瓶颈。

二、项目搭建

1、环境要求

JDK >= 1.8 (推荐1.8版本)
Mysql >= 5.7.0 (推荐5.7版本)
Maven >= 3.0

2、Windows环境的项目部署流程

基于windows10操作系统。

①、命令行进入Mysql，创建数据库名为ry，并切换使用该数据库。

create datavase ry; 创建名为ry的数据库
use ry; 切换使用ry数据库

②、将项目文件中的/sql/ry_20200323.sql的数据导入到ry数据库，注意导入路径中应使用正斜杠/。

source /绝对路径/sql/ry_20200323.sql; 导入数据库文件

③、使用IDEA打开本项目，等待Maven自动加载依赖项，如果时间较长需要自行配置Maven加速源。几个现象表明项目部署成功。文件无报错，项目代码已编译为class，Run/处显示可以运行。

④、修改srcmainl配置文件内容，具体如下图所示：

⑤、点击启动Run/本项目。

⑥、项目访问地址如下：

• 后台地址：127.0.0.1:8088/login

记得自己配下端口号，默认的是80端口。

⑦、登录账号密码adminadmin123。

3、Linux环境的项目部署流程

基于VMware虚拟机中的搭建的Ubuntu20操作系统

注意：以下步骤需要Ubuntu系统中安装所需的软件，可参考星球之前发的一篇文章：

本项目的默认打包方式就是JAR形式。并且本项目构建为SpringBoot多模块形式。我们所需要的运行的Jar程序打包在了RuoYi-v4.2/ruoyi-admin/target目录下。

整体部署流程如下：

①、使用IDEA打开项目，我们修改一下数据源链接地址。如下图所示：

我为了方便，将数据源直接连接到了Windows下mysql，也就是PHPstaduy一键启动的。如果你也想这样做，请注意以下几点：

• 宿主机和虚拟机需要在同一网段下，简单来说就是能互相ping通。
• Mysql启用远程访问，命令如下：

GRANT ALL PRIVILEGES ON *.*  ‘root’@’%’ identified by ‘root’ WITH GRANT OPTION; 
flush privileges;

②、使用Maven打包项目，选择若依总项目，依次点击clean和package，如下图所示：

③、我们将最终生成的ruoyi-admin.jar文件，复制粘贴到Ubuntu中。

④、在此，我们使用sudo java -jar ruoyi-admin.jar运行项目。如下图所示：

⑤、最后我们就可以正常访问了。

⚠️注意：

• java -jar启动若依项目需要管理员权限，因此要在前面加上sudo，如果报错说找不到命令。需要修改/etc/sudoers文件中Defaults secure_path位置，在后面加上java路径，如下图所示：

sudo vim /etc/sudoers 打开该文件

• 如果想要在其他环境中访问ruoyi，需要关闭防火墙，或者激活特定端口。偷个懒，直接关闭防火墙。

sudo ufw disable 关闭防火墙

三、代码审计漏洞挖掘

1、第三方组件漏洞审计

本项目使用Maven构建的。因此我们直接看l文件引入了哪些组件。通过IDEA打开该若依，发现本项目采用了多模块方式。因此每个模块下都会有一个l，项目最外层的l为父POM。我们可以通过或者External Libraries来确定引入组件的版本，具体整理如下：

组件名称	组件版本	是否存在漏洞
shiro	1.4.2	存在
thymeleaf	2.0.0	存在
druid	1.1.14	不存在
mybatis	1.3.2	不存在
bitwalker	1.19	不存在
kaptcha	2.3.2	不存在
swagger	2.9.2	不存在
pagehelper	1.2.5	不存在
fastjson	1.2.60	存在
oshi	3.9.1	不存在
commons.io	2.5	存在
commons.fileupload	1.3.3	不存在
poi	3.17	存在
velocity	1.7	存在
snakeyaml	1.23	存在

等等。

经过整理，我们发现本项目存在漏洞的组件为：Shiro 1.4.2，Thymeleaf 2.0.0，Fastjson 1.2.60，Commons.io 2.5，oi 3.17，velocity 1.7，snakeyaml 1.23…

通过版本号进行初步判断后，我们还需再进一步验证。

2、组件漏洞代码审计

针对存在漏洞的组件进行代码审计

2.1、Shiro组件漏洞代码审计

本项目使用了Shiro 1.4.2。Shiro在 1.4.2 到 1.8.0版本都是存在权限绕过的问题。

在代码审计中，我们主要关注Shiro配置文件，一般文件名为ShiroConfig。本项目Shiro配置文件位于RuoYi-v4.2ruoyi-frameworksrcmainjavacomruoyiframeworkconfigShiroConfig.java。

进入Shiro配置文件，我们关注对资源访问的拦截器配置，位于第231行 ~ 276行。发现第272行作者使用了/**表达式，对路径进行拦截。因此，本项目不存在Shiro权限绕过的漏洞的。如下图所示：

关于shiro的拦截匹配模式，Shiro的URL路径表达式为Ant格式有如下解释:

/hello：只匹配url，比如 
/h?：只匹配url，比如 +任意一个字符
/hello/*：匹配url下，比如  的任意内容，不匹配多个路径
/hello/**：匹配url下，比如  的任意内容，匹配多个路径

2.2、Fastjson组件漏洞代码审计

本项目使用了Fastjson 1.2.60，Fastjson <= 1.2.68都是存在漏洞的。

已确定了Fastjson版本存在问题，进一步寻找触发Fastjson的漏洞点。我们关注两个函数parse和parseObject。

搜索关键字发现本项目使用了parseObject，如下图所示：