「直到看见平凡才是唯一的答案」
「WebLogic未认证RCE」
「0x01 漏洞简述」
发现 Weblogic ConSole HTTP 协议代码执行漏洞,漏洞等级:严重,漏洞评分:9.8。
远程攻击者可以构造特殊的HTTP请求,在未经身份验证的情况下接管 WebLogic Server Console,并在 WebLogic Server Console 执行任意代码。
「0x02 影响版本」
Oracle:Weblogic:
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
「0x03 绕过漏洞」
访问以下URL,未授权访问到管理后台页面(低权限的用户):
发现我们现在是低权限的用户,无法安装应用,所以组合下面的漏洞可以继续利用
「0x04 代码执行漏洞」
结合绕过漏洞,远程攻击者可以构造特殊的HTTP请求,在未经身份验证的情况下接管 WebLogic Server Console ,并在 WebLogic Server Console 执行任意代码。
「远程命令执行方法一」
利用
com.tangosol.coherence.mvel2.sh.ShellSession执行命令:(利用DNSLOG)
成功执行:
「远程命令执行方法二(通用性高)」
首先需要构造一个XML文件,并将其保存
然后通过如下URL,即可让Weblogic加载这个XML,并执行其中的命令:
成功执行:
收到响应
「Weblogic XMLDecoder反序列化漏洞」
「0x01 漏洞描述」
Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。
「0x02 漏洞实战」
访问如下链接,存在下图则说明可能存在漏洞
「工具检测」
「反弹shell」
发送如下数据包(注意其中反弹shell的语句,需要进行编码,否则解析XML的时候将出现格式错误):
成功获取shell:
「写入webshell」
发送如下数据包,写入webshell
成功输出内容。
「Weblogic SSRF漏洞」
「0x01 漏洞描述」
Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。
「0x02 漏洞实战」
测试该漏洞。访问一个可以访问的IP:PORT,如
http://127.0.0.1:80可访问的端口将会得到错误,一般是返回
status code(如下图),如果访问的非http协议,则会返回
did not have a valid SOAP content-type
修改为一个不存在的端口,比如
http://127.0.0.1:7000将会返回
could not connect over HTTP to server
通过错误的不同,即可探测内网状态。
「Weblogic WLS Core Components 反序列化命令执行漏洞」
「0x01 漏洞描述」
Oracle 2018年4月补丁中,修复了Weblogic Server WLS Core Components中出现的一个反序列化漏洞(CVE-2018-2628),该漏洞通过t3协议触发,可导致未授权的用户在远程服务器执行任意命令。
「0x02 漏洞实战」
「第一种方式」
直接运行下述命令即可(自行替换IP和端口)
上图中最后一行Getshell
「第二种方式」
「上传shell」
「方式一:」
得到Shel
「方式二:」
「执行shell」
输入Shell
「Weblogic 部署war包Getshell」
「0x01 爆破弱口令」
「0x02 任意文件读取漏洞的利用」
可见成功读取passwd文件。
「0x02 读取后台用户密文与密钥文件」
访问
全局配置文件
「0x03 解密密文」
可见,解密后的密码和暴力破解的密码一致,说明成功。
「0x04 后台上传webshell」
获取到管理员密码后,登录后台。点击左侧的部署,可见一个应用列表:
点击安装,选择“上载文件”:
然后选择制作好的 war 木马文件包,点击下一步:
一直下一步(这里注意点击的是上边的下一步,不要点错了):
然后点击完成
保存
部署完成
使用webshell进行命令执行:
ifconfig
「Weblogic base_domain任意文件上传漏洞」
「0x01 什么是WebLogic」
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
「0x02 漏洞描述」
Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,进而获取服务器权限。Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在 ‘生产模式’ 下默认不开启,所以该漏洞有一定限制,漏洞存在页面在/ws_utc/config.do。
「0x03 影响的版本」
weblogic 10.3.6.0、weblogic 12.1.3.0、weblogic 12.2.1.2、weblogic 12.2.1.3。
「0x04 漏洞实战」
console界面用账号密码登陆
登录后台页面,点击
base_domain的配置,点击高级
在“高级”中开启“启用 Web 服务测试页”选项:
访问,设置
Work Home Dir
然后点击安全 -> 增加,然后上传webshell:
上传后,查看返回的数据包,其中有时间戳:
然后蚁剑连接,即可执行webshell:
「攻防交流群」
「声明」
文笔生疏,措辞浅薄,敬请各位大佬不吝赐教,万分感谢。
免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。
转载声明:儒道易行 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。
原文始发于微信公众号(平凡安全):【攻防实战】Weblogic-RCE集锦
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论