Weblogic SSRF漏洞漏洞复现

最新推荐文章于 2022-11-30 21:53:54 发布
最新推荐文章于 2022-11-30 21:53:54 发布
阅读量406 收藏
点赞数
文章标签: 网络 安全 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52471916/article/details/124161225
版权

浏览器访问端口

 

 抓包,看到operator参数是url,应该是存在url漏洞

我们进行抓包,然后将url修改为自己的ip地址+端口号

查看容器内容

找到ip地址

vim /etc/crontab

打开kali进行8888端口的监听

将刚刚输入的内容进行url编码,然后输入/test%0D%0A à换行符url编码 

SSRF漏洞原理?如何防御SSRF漏洞?在渗透测试时一般利用SSRF漏洞做什么。

原理: 服务端请求伪造(Server-Side Request Forgery),是一种由攻击者构造形成由服务器端发起请求的一个漏洞,一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统。

防御:将回显的报错信息进行统一,或者采用报错不回显,防止用户可以报错信息判断远端服务器的端口状态。

限制请求的端口只能为web端口,禁用类似于file、gopher等不需要的协议,只允许访问http和https的请求,其中常用的端口有:80,443,8080……

采用黑名单机制,限制不能访问内网的IP地址,防止应用被用来获取内网信息而对内网进行攻击

屏蔽返回的详细信息,或者过滤返回信息,验证远程服务器对请求的响应,例如:如果web应用是去获取某一种类型的文件,那么在把返回结果展示给用户之前,先验证返回的信息是否符合标准。

在渗透测试时一般利用SSRF漏洞做什么:根据回显判断端口开放情

 

 

 

 

 

 

Sy嗣音
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
weblogicssrf漏洞_Weblogic SSRF漏洞
weixin_35860326的博客
12-09 621
一、漏洞概述: Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。二、漏洞环境搭建: 1、使用docker+vulhub安装(菜没有办法)2、查看是否安装成功(注意需要访问的是7001端口)成功安装三、漏洞验证 1、验证漏洞是否存在,点击Search P...
漏洞Weblogic SSRF漏洞
Miraitowax
02-22 890
Weblogic SSRF漏洞原理,漏洞步骤详细总结及剖析
Weblogic SSRF漏洞
weixin_51151498的博客
11-30 884
Weblogic SSRF漏洞
SSRF02】服务器端请求伪造——WebLogic架构漏洞之从SSRF==>未授权访问==>GetShell
Fighting_hawk的博客
03-16 4015
1. 掌握SSRF漏洞挖掘的方法; 2. 掌握利用SSRF漏洞进行内网扫描; 3. 本实验中未涉及SSRF利用时绕过的方法; 4. 后续将研究如何成功反弹shell。
Weblogic-SSRF漏洞
小小猪的博客
11-22 2764
Weblogic-SSRF漏洞 漏洞分析: Weblogic服务端请求伪造漏洞在uddi组件(所以安装Weblogic时如果没有选择uddi组件那么就不会有该漏洞),更准确地说是uudi包实包uddiexplorer.war下的SearchPublicRegistries.jsp。 漏洞: 使用docker来模拟漏洞环境 docker github地址:地址 搭建的载体为Ubuntu 搭建过程不在详述,搭建完成后,访问http://your-ip:7001/uddiexplor.
WebLogic SSRF漏洞
11-25
WebLogic SSRF漏洞方法 CVE-2014-4210 10.0.2,10.3.6
雷石weblogic漏洞扫描工具
08-27
雷石weblogic漏洞扫描工具
weblogic漏洞检测集合工具
11-17
weblogic漏洞检测集合工具支持一键检测多个weblogic漏洞weblogic漏洞检测集合工具支持一键检测多个weblogic漏洞
WebLogic SSRF And XSS检查利用工具.exe
08-11
非常简单方便/实用的WebLogic SSRF And XSS检查利用工具
weblogic相关漏洞
05-03
WebLogic 相关漏洞概述 WebLogic 是 Oracle 公司出品的一款 Java EE 应用服务器,广泛应用于企业级应用系统中。然而,WebLogic 也存在一些漏洞,可能会被攻击者利用,导致严重的安全问题。以下是 WebLogic 相关漏洞...
漏洞CVE-2014-4210(Weblogic ssrf)
deginner2的博客
07-28 1099
Weblogic 漏洞
[Vulhub] Weblogic SSRF 漏洞(CVE-2014-4210)
weixin_45605352的博客
07-21 5141
0x00 预备知识 01 SSRF概念: SSRF(服务端请求伪造),指的是攻击者在未能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。 简单的说就是利用一个可发起网络请求的服务当作跳板来攻击其他服务 02 SSRF原理 SSRF的实质是利用存在缺陷的web应用作为代理攻击远程和本地的服务器。一般情况下, SSRF攻击的目标是外网无法访问的内部系统,黑客可以利用SSRF漏洞获取内部系统的一些信息(正是因为它是由服务端
Linux环境下Weblogic SSRF漏洞
哎呦喂
03-19 3654
方法一:以修的直接方法是将SearchPublicRegistries.jsp直接删除就好了;方法二:1.删除uddiexplorer文件夹2.限制uddiexplorer应用只能内网访问方法三:(常用)Weblogic服务端请求伪造漏洞在uddi组件(所以安装Weblogic时如果没有选择uddi组件那么就不会有该漏洞),更准确地说是uudi包实包uddiexplorer.war下的Se...
weblogic SSRF漏洞(CVE-2014-4210)检测利用
a1b2c3是弱口令
12-10 9493
Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。 SSRF漏洞检测利用 脚本检测 def run(self): headers = { "User-Agent":"Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) App...
Weblogic SSRF漏洞
热门推荐
chaojixiaojingang
01-14 1万+
1.漏洞描述 weblogic中存在SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。 2.影响版本 weblogic 10.0.2 – 10.3.6版本 3.POC http://192.168.42.145:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSear...
vulhub weblogic ssrf漏洞
最新发布
03-16
vulhub weblogic ssrf漏洞是指在WebLogic服务器中存在一种安全漏洞,攻击者可以利用该漏洞来发起服务器端请求伪造(SSRF)攻击。攻击者可以利用该漏洞来访问受保护的内部网络资源,或者利用该漏洞来发起其他攻击,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值