文章总结： 该文档是一篇实战技术文章，详细介绍了如何将常见的Druid未授权访问或弱口令漏洞从低危升级为高危漏洞的完整攻击链。核心方法是通过SpringBoot特征定位Druid监控页面，利用未授权或弱口令进入后，从Session监控和URI监控中提取活跃会话，再使用工具批量获取并利用BurpSuite爆破测试，最终找到有效Session并替换浏览器Cookie，从而绕过登录直接接管后台系统。文章还提供了具体的工具、字典和防御建议，如关闭监控、修改默认口令和配置IP白名单。 综合评分： 85 文章分类： 渗透测试,WEB安全,实战经验,安全工具,安全建设

---

【项目实战】Druid低危+低危=高危

原创

隐雾安全 隐雾安全

隐雾安全

2026年2月27日 09:05 四川

📝 编者语

在日常的众测和SRC挖掘中，很多师傅遇到Druid未授权访问或弱口令时，往往截图证明个“敏感信息泄露”，就匆匆交个低危报告了事。碰上严格的审核，还要battle。

今天，就结合众测项目实战，手把手教大家如何打出一套 “Druid 监控越权 + Session 提取 + 爆破接管” 的组合拳。

1

快速定位 Druid 资产

很多时候，目标并不会把 Druid 监控页面直接挂在主页上。测试时，我们需要通过一些框架特征来“顺藤摸瓜”。

1. 报错页面

在测试目标资产时，访问了一个不存在的目录，页面弹出了下面这个经典的报错界面：

看到这个 Whitelabel Error Page，经验丰富的师傅 DNA 就该动了：后端大概率是 SpringBoot 框架！ 而在企业级 Java 开发中，SpringBoot 经常与阿里开源的 Druid 数据库连接池捆绑使用。

2. 探针出击

洋葱头插件识别或其它指纹识别工具

3. 目录扫描

既然怀疑有Druid，下一步就是进行目录探测。这里我推荐使用 SpringBoot-Scan 这类专门针对 Spring 框架的扫描工具，

工具下载地址

https://github.com/AabyssZG/SpringBoot-Scan

或者直接在你的扫描器字典里加上这些高频变种路径：

/druid/login.html /druid/sql.html /druid/weburi.html /druid/websession.html /druid/weburi.json /druid/websession.json /webpage/system/druid/index.html /druid/index.html /druid/login.html /prod-api/druid/login.html /prod-api/druid/index.html /dev-api/druid/login.html /dev-api/druid/index.html /api/druid/login.html /api/druid/index.html /druid/datasource.json /admin/druid/login.html /admin-api/druid/login.html /druid/submitLogin /system/druid/websession.html /webpage/system/druid/websession.html

2

未授权与弱口令

找到入口后，我们面临两种情况：

情况A：完全未授权 有些开发老哥非常狂放，访问 /druid/index.html 直接就进去了，连密码都不用输。

未授权访问测试-路径爆破字典-druid

/druid/index.html                                             #首页 /druid/datasource.html                                #数据源 /druid/sql.html                                          #SQL监控 /druid/wall.html                                     #SQL防火墙 /druid/webapp.html                                  #Web应用 /druid/weburi.html                                      #URI监控 /druid/websession.html                       #Session监控 /druid/spring.html                                   #spring监控 /druid/api.html                                        #JSON API

字典延申-路径爆破字典-spring

1. Actuator监控端点

/actuator

/actuator/health

/actuator/info

/actuator/env

/actuator/beans

/actuator/mappings

/actuator/threaddump

/actuator/heapdump

/actuator/httptrace

/actuator/logfile

/actuator/loggers

/actuator/metrics

/actuator/scheduledtasks

/actuator/swagger-ui.html

2. Swagger API文档路径

/swagger-ui.html

/v2/api-docs

/swagger

/swagger-ui/

/api/swagger-ui.html

/api/v2/api-docs

3. 其他可能的敏感路径

/autoconfig

/auditevents

/configprops

/dump

/flyway

/jolokia

/liquibase

/metrics

/trace

情况B：需要弱口令盲猜

先获取到登录口，

/druid/login.html

/system/druid/login.html

/webpage/system/druid/login.html

直接掏出我们的“祖传密码本”。特别是当你怀疑目标是基于若依二次开发的时候，这几个密码命中率极高：

• admin admin
• admin 123456
• admin admin123
• admin Admin
• admin/password
• admin/123
• root/root
• root/123456
• test/test
• test/123456
• user/user
• user/123456
• ruoyi 123456
• ry 123456

运气好，一个简单的 ruoyi/123456就可以直接进入了 Druid 的后台。

3

提取 Session，接管全站

很多新手到了这一步就停手交报告了。千万别停，真正的金矿在“Session 监控”和“URI 监控”里！

这里记录了当前系统所有正在活跃的 HTTP 请求和他们的 Cookie/Session 值。只要拿到合法的Session，我们就能伪造管理员身份，长驱直入真正的业务后台！

1. 一键提取所有 Session

如果手动一个个复制Session，效率太低。可以使用开源神器druid_sessions 工具。

下载地址：

https://github.com/yuyan-sec/druid_sessions/releases/tag/1.3

只需要填入目标 URL 和刚才猜解出的账号密码，点击运行，工具会一次性将当前活跃的 Session、访问路径、甚至 SQL 语句全部扒下来！

2. Burp Intruder 批量盲测

工具扒下来的 Session 可能有几百个，其中大部分是普通用户的，或者是已经过期的。怎么找到那个能进核心后台的“超级钥匙”？

上 Burp Suite！

1. 抓取一个该系统真正的业务后台接口。
2. 发送到Intruder模块。
3. 将请求头中的Cookie:JSESSIONID=xxx（或Token字段）设置为变量。
4. 导入刚才提取出的 Session 列表作为 Payload，开始爆破！

3. 偷梁换柱，成功接管

盯着Intruder的跑包结果，重点关注响应长度发生显著变化，或者状态码变为 200 的请求。

一旦发现存活的有效Session，马上打开浏览器：

1. 访问目标前台服务网站。
2. 按F12打开开发者工具，进入Application -> Cookies。
3. 将现有的Session值直接替换为我们爆破出来的有效Session。
4. 按F5刷新页面。

Boom！免密直接步入核心业务后台，接管整个系统，不会掉线！ 此时，你的漏洞评级已经妥妥地变成了严重/高危。

4

如何防踩坑

修改建议怎么给呢？

1. 生产环境必须关闭监控：最彻底的方法，在 application.yml 中配置 spring.datasource.druid.stat-view-servlet.enabled=false。
2. 强制修改默认口令：如果因特殊原因必须开启，绝不能使用 ruoyi 或 admin 等弱口令，必须配置高强度复杂密码。
3. 严格的访问控制：在配置类中添加 allow 参数，通过 IP 白名单限制，仅允许公司内网的堡垒机或特定管理 IP 访问 /druid/* 路径。

🎁 文末福利

联系客服获取《Druid高频爆破字典》

!

微信号丨Hiddenfog001

往期内容

通用0day挖掘思路

某大厂勒索病毒处置流程外泄

今年大一，不小心黑进学校的迎新系统怎么办

英雄联盟租号平台getshell

记一次色情APP的渗透过程

课程推荐

隐雾SRC第八期全面升级

零基础就业班-三包模式

只要98，JS逆向带回家！

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：隐雾安全 隐雾安全 隐雾安全《【项目实战】Druid低危+低危=高危》