记一次实战中对Ruoyi系统的渗透

主要观点总结

先知社区发布了一篇关于Ruoyi站点渗透经验分享的文章，文章涉及敏感信息已做打码处理，作者不承担任何责任。文章介绍了在渗透过程中遇到的敏感信息泄露、用户信息泄露等问题，并提到了druid弱口令爆破、任意文件下载、模板注入getshell等攻击方法。最后强调这些技术、思路和工具仅供安全为目的的学习交流使用。

关键观点总结

关键观点1: Ruoyi站点渗透经验分享

作者分享了渗透Ruoyi站点的一些案例，包括弱密码爆破、任意文件下载、模板注入getshell等攻击方法。

关键观点2: 敏感信息泄露问题

文章提到了在渗透过程中遇到的敏感信息泄露问题，包括用户信息等。

关键观点3: 攻击方法的绕过和应对

文章中提到了一些绕过方法，如对Payload进行URL编码或者请求方法修改等操作，同时也提到了一些应对措施，如避免未经授权的攻击和行为等。

关键观点4: 法律责任与道德准则

作者强调了文章中涉及的敏感信息均已做打码处理，文章仅做经验分享用途，传播利用文章中提供的信息造成损失需要个人承担后果。强调不能用于非法用途和盈利目的。

文章预览

  原文首发在：先知社区 https://xz.aliyun.com/t/15706 前言 最近碰到比较多Ruoyi的站，ruoyi的话漏洞还是比较多的，这里就分享一下自己渗透的一些案例吧，方便大家参考学习 首先声明 文章中涉及的敏感信息均已做打码处理，文章仅做经验分享用途，切勿当真，未授权的攻击属于非法行为！文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任，一旦造成后果请自行承担。 站点信息收集 语法很多，这里简单放一个 body="Ruoyi" 可以看见是很多的，然后就是进行一个小小渗透 druid弱口令爆破 druid控制台： ruoyi/123456 ，接口地址  /druid 遇到这样一个站点，我们一般的思路就是弱密码去爆破了 访问  /druid 就是一个典型的登录界面，尝试弱密码 可以发现登 ………………………………