WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
漏洞环境搭建
项目地址:
GitHub - vulhub/vulhub: Pre-Built Vulnerable Environments Based on Docker-Compose
进行安装:
cd vulhub-master/weblogic/CVE-2017-10271/
docker-compose up -d
检查安装是否完成
访问http://ip:7001/即可看到一个404页面,说明weblogic已成功启动。
验证漏洞是否存在
访问 http://ip:7001/wls-wsat/CoordinatorPortType11,存在下图则说明可能存在漏洞
漏洞利用
使用对应的工具
漏洞扫描,选项,把weblogical移到另一面
whoami验证一下,是root权限
dnslog验证