WeblogicSSRF漏洞(CVE-2014-4210)
Weblogic中存在⼀个SSRF漏洞,利⽤该漏洞可以发送任意HTTP请求,进⽽攻击内⽹中redis、fastcgi等脆弱组件。
关于SSRF漏洞我们就不讲了,传送门——>
今天我们讲的是Weblogic存在的SSRF漏洞。
该漏洞存在于:页⾯,我们向该页⾯提交以下参数:
cve漏洞库
rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=ip:端⼝
在operator这个参数的位置存在SSRF漏洞,我们可以将该参数写成任意需要探测的主机+端⼝:ip:端⼝
我建议这⾥的ip不要填写 127.0.0.1 ,⽽是填写服务器的ip地址。因为我发现,如果这⾥的ip⽤的是127.0.0.1的话,除了7001端⼝,其他端⼝都检测的是关闭的,但是实际上其他端⼝有开放的。
如下,返回这种说明端⼝是开放的
返回这种说明端⼝是关闭的
参考⽂章:

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。