Ecosyste.ms: Awesome
An open API service indexing awesome lists of open source software.
https://github.com/charonlight/RuoYiExploitGUI
若依最新定时任务SQL注入可导致RCE漏洞的一键利用工具
https://github.com/charonlight/RuoYiExploitGUI
Last synced: 3 months ago
JSON representation
若依最新定时任务SQL注入可导致RCE漏洞的一键利用工具
- Host: GitHub
- URL: https://github.com/charonlight/RuoYiExploitGUI
- Owner: charonlight
- Created: 2024-03-03T13:00:06.000Z (9 months ago)
- Default Branch: main
- Last Pushed: 2024-03-03T13:02:53.000Z (9 months ago)
- Last Synced: 2024-03-03T14:22:52.385Z (9 months ago)
- Size: 641 KB
- Stars: 1
- Watchers: 1
- Forks: 0
- Open Issues: 0
-
Metadata Files:
- Readme: README.md
Awesome Lists containing this project
- awesome-hacking-lists - charonlight/RuoYiExploitGUI - 若依最新定时任务SQL注入可导致RCE漏洞的一键利用工具 (Others)
README
# RuoYiExploitGUI_v1.0
### 0x01 前言
若依最新定时任务SQL注入可导致RCE漏洞的一键利用工具, 扫描和漏洞利用结束会自行删除所创建的定时任务。
### 0x02 工具使用说明
**单个检测**
因为该漏洞为后台任务,所以我们需要配置Cookie请求头,点击设置-->请求头设置-->添加Cookie即可,添加完成即可进行漏洞检测
![image-20240303203711489](typora-img/README/image-20240303203711489.png)
![image-20240303203536393](typora-img/README/image-20240303203536393.png)
**漏洞利用**
当定时任务存在SQL注入时,我们可以使用JNDI进行漏洞利用,首先我们需要下载cckuailong师傅的JNDI-Injection-Exploit-Plus项目(https://github.com/cckuailong/JNDI-Injection-Exploit-Plus/releases/tag/2.3)。
```shell
java8 -jar JNDI-Injection-Exploit-Plus-2.3-SNAPSHOT-all.jar -C calc -A 127.0.0.1
```![image-20240303204009976](typora-img/README/image-20240303204009976.png)
然后我们使用该工具的JNDI模块进行一键利用
![image-20240303204141877](typora-img/README/image-20240303204141877.png)
### 0x03 免责声明
该开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任。
![gzh](./typora-img/README/gzh.png)