weblogic容器网站和findsomething的冲突导致无限跳转登录页面的问题
备注:
简单分析,若有误,敬请指出
问题描述:
虚拟机Weblogic部署完成后,物理机登陆后点击返回登陆页面_为什么我搭建的weblogic网站每次都跳转登录界面-CSDN博客
随便点击后直接返回登陆页面
使用的是vulhub的weblogic/CVE-2018-2894靶场(证实和靶场无关)
- 猜想:(错误的猜想)
findsomething插件的实现有问题,影响到了正常发包,导致如下现象
现象:
登录后台后,点击任意按钮,服务端需要用户再次登录,无限循环。
问题解决:
不需要换浏览器,暂时关闭findsomething插件即可。
解决过程
经过测试,抓包,我发现这是一个巧合导致的问题。
- findesomething插件收集接口的过程中,会自动顺序请求收集到的jsp接口;
- 插件自动请求了logout的jsp,导致退出了登录。
详见 最后的复盘。
抓包:
-
关闭插件:
-
打开findsomething插件(破案):
复盘
- findsomething在用户登录后,第一时间自动请求挖掘到的jsp(为了获取更多的接口,信息收集)
- 那么观察我们的请求jsp,观察我们的会话Cookie,还有findsomething收集到的Path,我们发现
- findsomething 按照 Path 列举出来的结果,顺序请求jsp, 而第一个jsp——
/console/jsp/common/warnuserlockheld.jsp
这个接口302重定向到了/console/jsp/common/logout.jsp
接口, 其作用就是重新设置SESSION——我们丢失了登陆状态的SESSION,造成登出。
因此,我们点击按钮之前就已经登出,点击按钮后的请求,只是重定向回登陆页面,要求用户重新登录。