Weblogic SSRF漏洞利用

最新推荐文章于 2024-05-15 13:39:14 发布
最新推荐文章于 2024-05-15 13:39:14 发布
阅读量1k 收藏 1
点赞数
分类专栏: 渗透 文章标签: 渗透靶场 渗透测试 SSRF漏洞利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42477007/article/details/90544762
版权

漏洞产生原因:

是指Web服务提供从用户指定的URL读取数据并展示功能又未
对用户输入的URL进行过滤,导致攻击者可借助服务端实现访问其本无权访问的URL。
攻击者无权访问的URL主要是内网,而对于不是Web服务的其他端口反回的一般是端口对应的服务的banner信息,
所以SSRF的一大利用是探测内网端口开放信息。(所以SSRF归类为信息泄漏类型)

漏洞利用:

1.1、直接访问:http://ip:7001/uddiexplorer/ ,SSRF漏洞存在于:http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp

1.2、向服务器提交以下参数:
?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001

1.3、当我们访问一个存在的端口时,比如:

最低0.47元/天 解锁文章
WebLogic SSRF漏洞复现及安全防护
XvrgMatlab的博客
09-26 126
本文将详细介绍如何复现WebLogic SSRF漏洞,并提供相应的源代码示例,同时探讨针对该漏洞的安全防护措施。为了保护WebLogic服务器免受SSRF漏洞的攻击,建议采取输入验证和过滤、防火墙配置和网络隔离、更新和安全配置等安全防护措施。通过综合应用这些措施,可以有效降低WebLogic服务器受到SSRF漏洞攻击的风险,提升系统的安全性。这是一个非常简单的示例,用于说明SSRF漏洞的原理。方法中,可以实现自定义的输入验证逻辑,例如检查协议是否为HTTP或HTTPS,并限制可以访问的域名。
WebLogic SSRF And XSS检查利用工具.exe
08-11
非常简单方便/实用的WebLogic SSRF And XSS检查利用工具
SSRF漏洞简析
qq_42383069的博客
12-03 1129
SSRF漏洞简析1.漏洞介绍2.漏洞成因3.漏洞流程梳理4.简要总结5.在centos下测试6.利用方式7.常见的防御方法8.ssrf常发生的位置 1.漏洞介绍 SSRF服务器端请求伪造漏洞: 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF访问的是目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人) 2.漏洞成因 SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。
WebLogic SSRF漏洞修复
11-25
WebLogic SSRF漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
dedis&weblogic ssrf利用redis未授权反弹shell
Feng_Blue_的博客
10-27 483
本文仅提供于学术探讨,如有后果自行承担。 redis数据库未授权访问漏洞复现 启用漏洞环境 借助工具来进行操作 查看基本帮助 weblogic ssrf利用redis未授权访问反弹shell
Weblogic SSRF漏洞
EC_Carrot的博客
08-21 292
漏洞简介 Weblogic中存在一个SSRF漏洞利用漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。 漏洞复现 SSRF漏洞存在于http://your-ip:7001/uddiexplorer/SearchPublicRegistries.jsp,我们发送如下数据包: GET /uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&a
weblogic-SSRF漏洞复现(SSRF原理、利用与防御)
不想当脚本小子的脚本小子
12-28 1617
一、SSRF概念 服务端请求伪造(Server-Side Request Forgery),是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片、文档等等。 首先,我们要对目标网站的架构了解,脑子里要有一个架构图。比如 : A网站,是一个所有人都可以访问的外网网站,B网站是一个他们内部
WebLogic SSRF漏洞攻击内网Redis以及反弹shell
SoulCat
02-08 4020
WebLogic SSRF漏洞攻击内网Redis以及反弹shell 漏洞概述: -通俗的讲weblogci是一种web容器,首先判断redis(内网ip和端口),由于Redis是通过换行符来分隔每条命令,可以通过传入%0a%0d来注入换行符,发送redis命令,将弹shell脚本写入/etc/crontab中(crontab是一个linux一个定时执行事件的一个程序),然后getshell。 基本...
weblogic-ssrf-漏洞复现
飞鱼的企鹅的博客
01-04 1181
ssrf简介 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人) **简析:**SSRF漏洞就是通过篡改获取资源的请求发送给服务器,但是服务器并没有检测这个请求是否合法的...
网络安全——实操weblogicssrf漏洞
Demo不是emo的博客
09-18 2694
今天我们讲的还是ssrf漏洞利用,选择的环境是weblogicssrf历史漏洞,需要用到vulhub靶场和docker环境,都给大家准备好了,需要的自取自用,这服务不得打满分啊?
漏洞复现】Weblogic SSRF漏洞复现
Miraitowax
02-22 1370
Weblogic SSRF漏洞原理,漏洞复现步骤详细总结及剖析
我眼中的Weblogic-SSRF
ovowovo的博客
12-10 822
一、ssrf简述: SSRF(server-side request forgery ):服务器端请求伪造。是一种由攻击者构造形成由服务器端发起请求的一个安全漏洞,一般情况下,ssrf攻击的目标是从外网无法访问的内部系统(正是因为他是有服务器端发起的,所以他能够请求到与他相连而与外网隔离的内部系统) 影响版本:10.0.2.0 10.3.6.0 SSRF危害以及可实现的攻击行为 主...
中间件漏洞 | weblogic-ssrf
weixin_52116519的博客
10-22 1179
Weblogic中存在一个SSRF漏洞利用漏洞可以发送任意HTTP请求,探测内网IP及端口的开放情况,进而攻击内网中redis、fastcgi等脆弱组件。漏洞版本:weblogic 10.0.2-10.3.6。
Weblogic SSRF 到Getshell
干铮的博客
01-29 679
Weblogic SSRF漏洞 描述:Weblogic中存在SSRF漏洞利用漏洞可以任意HTTP请求,进而攻击内网redis/fastcgi等脆弱组件。 1.环境搭建 环境采用vulhub的docker环境 启动环境路径 vulhub/weblogic/ssrf 启动环境命令 docker-compose build docker-compose up -d 访问http://your-ip:7001/uddiexplorer/ 无需登录即可查看uddiexploer应用 2.S..
Weblogic 常见漏洞分析与利用
热门推荐
未完成的歌~的博客
03-23 1万+
一直没有系统的总结过 weblogic漏洞,今天通过 vulhub 靶场来复现几个经典的案例。WebLogic 是美国 Oracle 公司出品的一个基于 JAVAEE 架构的中间件,是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的Java应用服务器。WebLogic 由纯 Java 开发,长期以来一直被认为是市场上最好的J2EE工具之一,被广泛应用于开发、部署和运行 Java 应用等适用于本地环境和云环境的企业应用。
Weblogic SSRF
最新发布
weixin_45653478的博客
05-15 1273
SSRF漏洞通常是由于服务端提供了从其他服务器应用获取数据的功能,并且没有对目标地址进行过滤与限制。攻击者可以利用这个漏洞,通过篡改获取资源的请求发送给服务器,服务器在没有发现这个请求是非法的情况下,会以自身的身份去访问其他服务器的资源。
SSRF总结
Aiwin的博客
02-14 1068
SSRF总结和一些题目记录(未完结)
vulhub weblogic ssrf漏洞
03-16
vulhub weblogic ssrf漏洞是指在WebLogic服务器中存在一种安全漏洞,攻击者可以利用漏洞来发起服务器端请求伪造(SSRF)攻击。攻击者可以利用漏洞来访问受保护的内部网络资源,或者利用漏洞来发起其他攻击,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值