RuoYi若依 Vue综合漏洞检测工具支持二开或修改|漏洞探测
RuoYi若依 Vue综合漏洞检测工具支持二开或修改|漏洞探测
HK渗透工具分享 渗透安全HackTwo 2025-02-27 16:00
0x01 工具介绍 ruuoyi_vulnscan 是一款基于 Python 和 Tkinter 开发的图形化界面工具,用于检测若依 Vue 框架应用程序中的常见漏洞。该工具提供了多种漏洞检测模块,包括 Swagger 检测、Druid 检测、文件下载漏洞检测、SQL 注入检测、定时任务漏洞检测和任意密码修改漏洞检测等,同时支持全面检测和扫描停止、结果清空等操作。Autumn52师傅的分布式自动化信息收集平台也更新了感兴趣可以去看看。https://mp.weixin.qq.com/s/slMf3faew0FdNUuOjEEysw注意:现在只对常读和星标的公众号才展示大图推送,建议大家把渗透安全HackTwo”设为星标⭐️”否则可能就看不到了啦!
下载地址在末尾
0x02 功能简介(一)启动工具在命令行中运行以下命令启动工具:python ruuoyi_vulnscan.py启动后,会弹出一个图形化界面窗口(二)配置扫描信息在工具界面的 “扫描配置” 区域,你需要输入以下信息:目标 URL:要检测的若依 Vue 应用程序的基础 URL,例如 http://example.com。Cookie:如果需要使用 Cookie 进行请求,可以在此输入。Authorization:如果需要使用授权信息进行请求,可以在此输入。HTTP 代理:如果需要使用代理进行请求,可以在此输入代理地址,例如 http://127.0.0.1:8080。默认值为 http://127.0.0.1:8080。(三)选择漏洞检测模块在 “漏洞模块” 区域,提供了多个检测按钮,你可以根据需要选择不同的检测模块:Swagger 检测:检测 Swagger API 文档和 UI 是否存在未授权访问漏洞。Druid 检测:检测 Druid 监控页面是否存在未授权访问漏洞。文件下载:检测文件下载功能是否存在任意文件下载漏洞。SQL 注入:检测系统列表接口是否存在 SQL 注入漏洞。定时任务:检测定时任务功能是否存在漏洞,并尝试验证文件读取情况。任意密码修改:检测用户密码修改功能是否存在任意密码修改漏洞。全面检测:依次执行上述所有检测模块。清空结果:清空扫描结果区域的内容。停止扫描:停止正在进行的扫描任务。(四)查看扫描结果扫描结果会显示在 “扫描结果” 区域,每条结果包含时间戳、严重程度和详细信息。不同严重程度的结果会以不同颜色显示:信息(info):黑色,一般表示漏洞不存在或检测正常完成。警告(warning):橙色,表示检测过程中出现异常情况。严重(critical):红色,表示发现了潜在的安全漏洞。(五)扫描进度查看在工具界面的下方,会显示扫描进度条和当前扫描进度的百分比。全面检测时,进度条会随着检测的进行逐渐更新。0x03更新说明暂无0x04 使用介绍(一)安装 Python确保你的系统已经安装了 Python 3.x 版本。你可以从Python 官方网站下载并安装适合你操作系统的版本。(二)安装依赖库该工具依赖于 requests 和 tkinter 库,你可以使用以下命令进行安装:pip install requeststkinter 通常是 Python 标准库的一部分,一般无需额外安装。 获取工具代码将工具的 Python 代码保存为一个 .py 文件,例如 ruuoyi_vulnscan.py,同时确保 ruoyi.ico 图标文件与代码文件在同一目录下。(三)注意事项URL 输入要求:输入的目标 URL 必须以 http:// 或 https:// 开头,否则会弹出警告提示。同时,不允许输入政府或教育机构域名(如 .gov、.gov.cn),以遵守网络安全法。扫描停止:在扫描过程中,如果需要停止扫描,可以点击 “停止扫描” 按钮。但需要注意的是,停止扫描可能不会立即终止正在进行的请求,可能需要等待一段时间。异常处理:如果在扫描过程中出现异常情况,例如网络请求超时、连接错误等,会在扫描结果区域显示相应的警告信息。代理使用:如果使用代理,确保代理服务器正常运行,并且配置的代理地址和端口正确
0x05 内部VIP星球介绍-V1.4(福利) 如果你想学习更多渗透测试技术/应急溯源/免杀/挖洞赚取漏洞赏金/红队打点欢迎加入我们内部星球可获得内部工具字典和享受内部资源,每1-2天更新1day/0day漏洞刷分上分(2025POC更新至3600+),包含网上一些付费工具及BurpSuite自动化漏洞探测插件,AI代审工具等等。shadon\Quake\Fofa高级会员,CTFshow等各种账号会员共享。详情直接点击下方链接进入了解,觉得价格高的师傅可后台回复” 星球 “有优惠券名额有限先到先得!全网资源最新最丰富!(已有1600多位师傅加入,价格随人数进行上涨早加入早享受)
👉点击了解加入–>>内部VIP知识星球福利介绍V1.4版本-1day/0day漏洞库及内部资源更新
结尾
免责声明
获取方法
公众号回复20250228获取下载
最后必看
文章中的案例或工具仅面向合法授权的企业安全建设行为,如您需要测试内容的可用性,请自行搭建靶机环境,勿用于非法行为。如
用于其他用途,由使用者承担全部法律及连带责任,与作者和本公众号无关。
本项目所有收录的poc均为漏洞的理论判断,不存在漏洞利用过程,不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。
如您在使用本工具或阅读文章的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。本工具或文章或来源于网络,若有侵权请联系作者删除,请在24小时内删除,请勿用于商业行为,自行查验是否具有后门,切勿相信软件内的广告!
往期推荐
1. 内部VIP星球福利介绍V1.4星球介绍(0day推送)
2. 最新BurpSuite2025.2.1专业版(新增AI模块)
3. 最新Nessus2025.02.10版下载
4. 最新xray1.9.11高级版下载Windows/Linux
5. 最新HCL AppScan Standard 10.2.128273破解版下载
渗透安全HackTwo
微信号:关注公众号获取
后台回复星球加入:
知识星球
扫码关注 了解更多
喜欢的朋友可以点赞转发支持一下