一、ssrf简述:
SSRF(server-side request forgery ):服务器端请求伪造。是一种由攻击者构造形成由服务器端发起请求的一个安全漏洞,一般情况下,ssrf攻击的目标是从外网无法访问的内部系统(正是因为他是有服务器端发起的,所以他能够请求到与他相连而与外网隔离的内部系统)
影响版本:10.0.2.0 10.3.6.0
SSRF危害以及可实现的攻击行为
- 主机上本地敏感信息读取,对外网服务器所在的内网的本地端口进行扫描,获取服务的Banner信息
- 攻击运行在内外网主机的应用程序
- 通过访问默认文件对内网Web应用进行指纹识别
- 攻击内外网的Web应用,主要是使用GET参数就可以实现攻击
- 利用file协议读取本地文件
网站访问大致步骤:
用户在地址栏输入网址 --> 向目标网站发送请求 --> 目标网站接受请求并在服务器端验证请求是否合法,然后返回用户所需要的页面 -->用户接收页面并在浏览器中显示
SSRF漏洞出现在目标网站接受请求后在服务器端验证请求是否合法这一步中,是由于服务器端没有对用户请求做出严格的过滤以及限制,导致其可以从其他服务器获取一定量的数据。SSRF漏洞就是通过篡改获取资源的请求发送给服务器,但是服务器并没有发现在这个请求是合法的,然后服务器以他的身份来访问其他服务器的资源。
Weblogic中的这个环境就有点类似这个样子的,就是由于访问目标网站是的参数是url 这时就有可能存在ssrf漏洞,恰好在服务端验证请求时没有对用户请求做出严格的过滤以及限制,导致其可以获取服务器的一定量的数据,并可以实现篡改获取的资源并请求发送给服务器,这里就是篡改了 /etc/crontab下的信息,将反弹shell脚本写入了该目录下,是通过获取服务器的redis服务,通过6379 这个端口实现的。
二、漏洞环境
windows service 2008 R2 192.168.197.139
Oracle WebLogic Server 10.3.6.0
三、漏洞复现
启动环境后,SSRF漏洞存在于:http://your-ip:7001/uddiexplorer/SearchPublicRegistries.jsp
发现这里有参数传入的是url,差不多可以断定就是在这个点存在ssrf漏洞了。上面我也讲过了,ssrf漏洞存在的情况,这一种比较普遍,就是传入url,并且服务器端验证没有对用户做出严格的过滤。
修改为一个不存在的端口,将会返回could not connect over HTTP to server
就是这里可以进行端口探测,这里的参数operator我们是可控的,当我们输入不同值时可得到多种不同的报错,
端口存在返回状态码returned a 404 error code
端口不存在but could not connect over HTTP to server
非http协议:did not have a valid SOAP content-type 协议没写:no protocol
表示这是非http协议。
有这个可以由此得到windows环境中地址127.0.0.1在端口运行redis服务
这样似乎就可以进行攻击了。
如何防御与修复
1.如果业务不需要UDDI功能,就关闭这个功能。可以删除uddiexporer文件夹,可以可在/weblogicPath/server/lib/uddiexplorer.war解压后,注释掉上面的jsp再打包。
2.安装oracle的更新包。
http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html
备注:
检测是否存在漏洞
使用脚本简单探测:ssrf-poc_simple.py(基于python3.x)
手工进行简单检测,在漏洞地址处,点击Search按钮,返回:“An error has occurred”
可从漏洞页面下的Setup UDDI Explorer处发现内网地址
如果不显示,可以使用脚本猜测。“ip_detect.py”:python ip_detect.py --url 目标地址(基于python2.x)
内网地址(可自行按需更改):
10.0.0.0 ~ 10.255.255.255, 172.16.0.0 ~ 172.31.255.255 192.168.0.0 ~ 192.168.255.255
开始手工进行内网探测,打开漏洞页面后,通过Search,产生数据包。
1138
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
