浅谈ssrf及weblogic ssrf复现

admin 2022年1月12日03:06:18评论269 views字数 3258阅读10分51秒阅读模式



声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系李大陆
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。仅供学习研究



SSRF分析及CVE-2014-4210 SSRF漏洞复现

1).官方文档

Oracle Fusion Middleware 10.0.2.0 和 10.3.6.0 中的 Oracle WebLogic Server 组件中存在未指定的漏洞,使得远程攻击者能够通过与 WLS 相关的载体 ( Web Services) 影响机密性。

2).影响版本

weblogic

10.0.2--10.3.6.0

3).漏洞描述

在weblogic  10.0.2--10.3.6.0版本,http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp处存在漏洞,我们可以同通过构造请求来利用返回的错误信息来观察探测开放端口的状态等,甚至可以通过该ssrf构造任意http请求来攻击内网redis或fastcgi等组件。

4).SSRF

ssrf(server-side request forgery:服务器请求伪造)是一种由攻击者构造的由服务端请求的一个安全漏洞。

通常情况下,一般防火墙只对于外部网络进行防护,但是对于内部网络没有过多的措施,于是我们直接伪装成为内部机器向内网发送请求,机器就会判定这样的请求是安全可靠的,于是就会执行我们所想要执行的命令,也就绕过了防火墙的限制,并对内网实现横向渗透,这就是一般ssrf的实现方式:

例如:

假设一个公司的网络对于外网提供了名为public.example.com的网站服务器,该网站通过后置/proxy,来对于url中的指定参数进行网页链接的跳转,例如

public.example.com/proxy?url=google.com此时页面就会跳转到谷歌界面,此公司的后台管理界面域名为admin.example.com,此链接只能由内部网络进行访问,外网无法直接访问,于是此时我们如果构造public.example.com/proxy?url=admin.example.com来访问,会发生什么情况呢,此时内网会判定此请求是由供公司内部机器进行的请求,于是就会直接跳转到相应的界面,这就是对于外部的服务与内部机器之间没有实施相应的安全措施,就造成了ssrf的实现

ssrf实现:

通常情况下,ssrf一般发生在服务端在请求外部资源的情况中,例如有时服务端应用会请求读取外部图片来创建缩略图

浅谈ssrf及weblogic ssrf复现

或者在浏览评论时有视频文件的动态资源图片 ,于是,如果此时服务端没有对于图片或gif动图采取内部资源处理的话,我们就可以利用其来实现ssrf

进一步访问内部网络中的信息系统

还有如果一个网站支持以url的形式获取用户头像的话,并且并没有对于内部资源或url有进一步的安全措施,我们就可以通过ssrf实现恶意功能

ssrf攻击形式:

1.我们可以在目标url后添加不同ip来根据回显信息了解服务器的一些信息或内网的信息

2.我们在ip后加不同的port也可以根据回显信息来判断服务或一些端口信息,实现内网端口扫描

3.最严重的,ssrf可以通过构造一些危险url获取到一些信息,比如管理员密码,之后上传webshell,之后你懂的

或者对于一些薄弱的网址或不安全的管理界面入手进行,利用其弱点进行构造脚本,来实现远程代码执行

至于具体实现方式,大家了解就好,切勿做违法乱纪的事

说完了这些,此时我们开始复现:

5).复现过程:

复现这个漏洞的时候我docker访问redies的时候发生了错误,就是拖托取环境失败了,于是我们在本机进行手动搭建weblogic环境复现:

首先下载weblogic环境,可以在下面网盘下载:

https://pan.baidu.com/s/1wz1_ctJJdaYYXaXpmNO0kw#list/path=%2F&parentPath=%2Fsharelink765468514-715314846720175

或者直接去官网进行下载:

https://www.oracle.com/technetwork/middleware/weblogic/downloads/index.html

下载后安装,下面提供安装教程:

https://blog.csdn.net/hdqhdq123/article/details/41745889

因为上面网盘提供的就是10.3.6.0,所以我特意找了一个对应版本的教程

安装成功后,打开

浅谈ssrf及weblogic ssrf复现

对应目录下的cmd文件,会自动启动weblogic服务

浅谈ssrf及weblogic ssrf复现

如下信息表示启动成功

访问http://youip:7001访问weblogic,之后我们进入漏洞所在目录:

http://192.168.0.1:7001/uddiexplorer

浅谈ssrf及weblogic ssrf复现

漏洞存在于

浅谈ssrf及weblogic ssrf复现

此时我们构造恶意url:在url后面加入

?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://youip:7001

浅谈ssrf及weblogic ssrf复现

此时发包

浅谈ssrf及weblogic ssrf复现

回显如下结果,此回显表示此ip存在并且端口开放

浅谈ssrf及weblogic ssrf复现

此处泄露了内网信息,此时我在本地搭建,所以显示localhost,如果我们现实遇到不会显示localhost

我们访问redis服务

浅谈ssrf及weblogic ssrf复现

显示未开放


对于ssrf探测回显信息的意义有四种:


  • 对于请求未开放的服务:


    • weblogic . uddi. client. structures. exception.XML_ SoapException: Triedall:'1' addresses, but could not connect over HT TP to server:'fuzz.wuyun.com', port: '88'

  • 对于请求可能被识别的服务:


    • weblogic.uddi. client structures. exception.XML SoapException:Received a response from url: http :/www.baidu.com/ which did not have a valid SOAP content-type: text/html; charset=UTF-8.

    • 即我们之前提及的可以跳转的url

  • 对于请求开放的服务:


    • weblogic . uddi. client. structures.exception.XML SoapException:Received a response from url: http://fuzz .wuyun .com:22 /helo which did not have a valid SOAP content-type: null.

  • 对于不可被识别的服务:


    • weblogic.uddi. client. structures .exception.XML_ SoapException:Received a response from url: http://fuzz .wuyun.com:22 which didnot have a valid SOAP content-type: null.

此时我们访问6389端口发先未开放redis服务,因为我没有搭建数据库等内网服务

当我们遇到开放redis服务的机器时,即6389显示开放的机器,我们利用此机器为跳板,向开启redis的机器发送弹shell的脚本到/etc/cronrab文件,之后开启监听,反弹shell即可



浅谈ssrf及weblogic ssrf复现

抽奖星球中奖的五位师傅,请加以下微信

微信号:Lemon10ve7

浅谈ssrf及weblogic ssrf复现




干货 | 渗透知识库(鹏组安全)


信息安全 | 键盘记录之信息窃取(登录框密码隐藏就真的万无一失吗)


python | 用python写了一个谈恋爱AA公式,我被分手了




好文分享收藏赞一下最美点在看哦


原文始发于微信公众号(鹏组安全):浅谈ssrf及weblogic ssrf复现

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月12日03:06:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   浅谈ssrf及weblogic ssrf复现http://cn-sec.com/archives/733681.html

发表评论

匿名网友 填写信息