本文作者：Track-杳若

前言

若依系统存在较多魔改版本，具有前后端分离的情况，内置了druid

通过这个拿下了交大证书

Druid弱口令上分攻略

信息收集

首先，我们要做的是收集基于若依CMS的系统

图标收集方法

最简单的就是利用图标的方法进行收集(以下只是举例)

(icon_hash="-1231872293" || icon_hash="706913071")

内容收集

另外可以收集的就是内容

下面是以主体中的关键字进行匹配(大部分存在二改的情况)

标题收集

收集类似的标题

前后端分离之后端收集1

发现下述内容，是ruoyi后端，也需要进行收集

由于存在很多魔改版本,大致会修改ruoyi那一段

收集的思路大致为内容匹配(以下是思路之一)

前后端分离之后端收集2

除了存在后台欢迎的情况，也可能做了弱权限校验，会出现以下情况

因此此类也需要收集

权限校验回显500

该回显不是严格意义上服务器回显500，与之前遇到的回显401弱校验类似

拼接了/druid/login.html

一看图标，尝试若依弱口令 123456 直接进去了

最重要

如果是为了教育上分的话，需要加上一点小小的黑魔法 加上下面这句话就会筛选出来的内容为教育网段内容

org="China Education and Research Network Center"

druid目录探测

默认路径探测0-未授权

如果配置不当可能不需要druid密码即可直接访问druid

/druid/index.html

默认路径探测1-druid

若依默认的druid路径是

/druid/login.html

收集的网址直接拼接，如果成功，就说明存在druid后台

默认路径探测2-默认api

若依存在默认的api，druid的路径可能在api下

/prod-api/druid/login.html
/dev-api/druid/login.html

收集的网址直接拼接，如果成功，就说明存在druid后台

默认路径探测3-开发自定义

在这个情况下，直接扫描是没有任何用处的，通常的思路是首先浅浅登录错误一次，查看数据包的目录

示例如下

发现存在一个地址

抓包查看地址后发现如下目录

那么拼接地址为

/{发现的api}/druid/login.html

默认路径探测总结

常见路径地址如下

/druid/index.html
/druid/login.html
/prod-api/druid/login.html
/prod-api/druid/index.html
/dev-api/druid/login.html
/dev-api/druid/index.html
/api/druid/login.html
/api/druid/index.html
/admin/druid/login.html
/admin-api/druid/login.html

甚于内容请在实战中进行尝试

druid弱口令爆破

通常druid不需要验证码就可以进行爆破（请自行收集字典)

常见用户名

admin
druid
ruoyi
...

常见密码

123456
admin
druid
...

任意用户注册(较少见)

通常我们遇到的ruoyi系统如下

注意URL为

https://xxxxx.edu.cn/login?redirect=%2Findex

也可能遇到其他二改系统的路径为

https://xxxxx.edu.cn/{任意内容}/login?redirect=%2Findex

大部分使用ruoyi框架的人都会忽略掉前端的注册界面(后端可能删了) 因此我们拼接/register

这个时候我们注册账户，如果后端未关闭的话，可以注册成功

注册失败大致如下

下面是某交的成功案例

Druid登录后利用

在我们无法登录若依的时候，如果我们获取到了druid连接池，我们可以尝试扩大危害

首先如何发现druid请看前文

https://bbs.zkaq.cn/t/31119.html

进入druid后我们重点关注的是/druid/weburi.html与/druid/websession.html

Druid到获取未授权路由

在这我们可以获得创建了连接池的URI

在这里面如果开发在开发的时候没做权限校验，我们可以获得未授权的API接口

在这里就放个案例，进去之后发现了一个接口

通过拼接发现了未授权接口

Druid到敏感信息泄露

有时候可能会在路径中翻到上传的文件(如PDF后缀)

访问的话，会发现泄露了大量的敏感信息

Druid到登录系统

在/druid/websession.html路径下，我们有时候可以看到已经连接的SESSIONID

我们切到登录处在登录的同时替换掉SESSIONID有可能可以登录系统

这里不进行赘述

Swagger-ui泄露

除了Druid之外，其实和Swagger组件是一起的

同理也存在自定义路径的可能性需要收集，如果Swagger组件没修改的话，查看的效果和druid泄露的效果类似

这边提供部分路径(建议确定是否是自定义路径之后进行dirsearche扫描)

/swagger-ui/index.html
/prod-api/swagger-ui/index.html
/api/swagger-ui/index.html

进系统捡漏硬恰

有时候/druid/login.html界面是无法直接访问到的，进行了权限校验，要登录系统才可以

那我们需要获取权限，最好的方法是先登录若依

往往大部分能直接登录若依的弱口令被恰的差不多了，我们可以进系统恰druid，这是大部分人忽略的地方

往往内嵌在系统数据监控中，这是一种捡漏的方法

总结

相对来说爆破还是需要一本好的字典的，重点在于收集面

以下是在edu-src中使用druid弱口令上分的部分

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）