红队攻防实战之Weblogic-RCE集锦

admin
admin
admin
102737
文章
87
评论
2023年12月12日00:16:53评论17 views字数 1936阅读6分27秒阅读模式


须知少时凌云志,曾许人间第一流

WebLogic未认证RCE

绕过漏洞

访问以下URL,未授权访问到管理后台页面(低权限的用户):

红队攻防实战之Weblogic-RCE集锦

发现我们现在是低权限的用户,无法安装应用,所以组合下面的漏洞可以继续利用

代码执行漏洞

结合绕过漏洞,远程攻击者可以构造特殊的HTTP请求,在未经身份验证的情况下接管 WebLogic Server Console ,并在 WebLogic Server Console 执行任意代码。

远程命令执行方法一

利用com.tangosol.coherence.mvel2.sh.ShellSession执行命令:(利用DNSLOG)

红队攻防实战之Weblogic-RCE集锦

成功执行:

红队攻防实战之Weblogic-RCE集锦

远程命令执行方法二(通用性高)

首先需要构造一个XML文件,并将其保存

红队攻防实战之Weblogic-RCE集锦

然后通过如下URL,即可让Weblogic加载这个XML,并执行其中的命令:

成功执行:

红队攻防实战之Weblogic-RCE集锦

收到响应

红队攻防实战之Weblogic-RCE集锦

Weblogic XMLDecoder反序列化漏洞

访问如下链接,存在下图则说明可能存在漏洞

红队攻防实战之Weblogic-RCE集锦

工具检测

红队攻防实战之Weblogic-RCE集锦

反弹shell

发送如下数据包(注意其中反弹shell的语句,需要进行编码,否则解析XML的时候将出现格式错误):

红队攻防实战之Weblogic-RCE集锦

成功获取shell:

红队攻防实战之Weblogic-RCE集锦

写入webshell

成功输出内容。

红队攻防实战之Weblogic-RCE集锦

Weblogic SSRF漏洞

测试该漏洞。访问一个可以访问的IP:PORT,如http://127.0.0.1:80

可访问的端口将会得到错误,一般是返回status code(如下图),如果访问的非http协议,则会返回did not have a valid SOAP content-type

红队攻防实战之Weblogic-RCE集锦

修改为一个不存在的端口,比如 http://127.0.0.1:7000将会返回could not connect over HTTP to server

红队攻防实战之Weblogic-RCE集锦

通过错误的不同,即可探测内网状态。

Weblogic WLS Core Components 反序列化命令执行漏洞

直接运行下述命令即可(自行替换IP和端口)

红队攻防实战之Weblogic-RCE集锦

上图中最后一行Getshell

红队攻防实战之Weblogic-RCE集锦

上传shell

方式一:

红队攻防实战之Weblogic-RCE集锦

得到Shel

方式二:

红队攻防实战之Weblogic-RCE集锦

执行shell

输入Shell

红队攻防实战之Weblogic-RCE集锦

Weblogic 部署war包Getshell

爆破弱口令

红队攻防实战之Weblogic-RCE集锦

任意文件读取漏洞的利用

可见成功读取passwd文件。

红队攻防实战之Weblogic-RCE集锦

读取后台用户密文与密钥文件

访问

红队攻防实战之Weblogic-RCE集锦

全局配置文件

红队攻防实战之Weblogic-RCE集锦

解密密文

可见,解密后的密码和暴力破解的密码一致,说明成功。

红队攻防实战之Weblogic-RCE集锦

后台上传webshell

获取到管理员密码后,登录后台。点击左侧的部署,可见一个应用列表:

红队攻防实战之Weblogic-RCE集锦

点击安装,选择“上载文件”:

红队攻防实战之Weblogic-RCE集锦

然后选择制作好的 war 木马文件包,点击下一步:

红队攻防实战之Weblogic-RCE集锦

一直下一步(这里注意点击的是上边的下一步,不要点错了):

然后点击完成

红队攻防实战之Weblogic-RCE集锦

保存

红队攻防实战之Weblogic-RCE集锦

部署完成

使用webshell进行命令执行:ifconfig

红队攻防实战之Weblogic-RCE集锦

Weblogic base_domain任意文件上传漏洞

console界面用账号密码登陆

登录后台页面,点击base_domain的配置,点击高级

红队攻防实战之Weblogic-RCE集锦

在“高级”中开启“启用 Web 服务测试页”选项:

红队攻防实战之Weblogic-RCE集锦

访问,设置Work Home Dir

红队攻防实战之Weblogic-RCE集锦

然后点击安全 -> 增加,然后上传webshell:

红队攻防实战之Weblogic-RCE集锦

上传后,查看返回的数据包,其中有时间戳:

红队攻防实战之Weblogic-RCE集锦

然后蚁剑连接,即可执行webshell:

红队攻防实战之Weblogic-RCE集锦

文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。

免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。

转载声明:各家兴 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。


CSDN:
https://blog.csdn.net/weixin_48899364?type=blog

公众号:
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect

博客:
https://rdyx0.github.io/

先知社区:
https://xz.aliyun.com/u/37846

SecIN:
https://www.sec-in.com/author/3097

FreeBuf:
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85


原文始发于微信公众号(各家兴):红队攻防实战之Weblogic-RCE集锦

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月12日00:16:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   红队攻防实战之Weblogic-RCE集锦http://cn-sec.com/archives/2288068.html

发表评论

匿名网友 填写信息