web安全之weblogic漏洞总结

Weblogic简介

1.1 叙述

Weblogic是美国Oracle公司出品的一个应用服务器(application server)，确切的说是一个基于Java EE架构的中间件，是用于开发、集成、部署和管理大型分布式Web应用、网络应用和 数据库应用的Java应用服务器。
Weblogic将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中，是商业市场上主要的Java（Java EE）应用服务器软件之一，也是世界上第一个成功商业化的Java EE应用服务器，具有可扩展性、快速开发、灵活、可靠等优势。
在功能性上，Weblogic是Java EE的全能应用服务器，包括EJB 、JSP、servlet、JMS等，是商业软件里排名第一的容器（JSP、servlet、EJB等），并提供其他工具（例如Java编辑器），因此也是一个综合的开发及运行环境。
在扩展性上，Weblogic Server凭借其出色的群集技术，拥有处理关键Web应用系统问题所需的性能、可扩展性和高可用性。Weblogic Server既实现了网页群集，也实现了EJB组件群集，而且不需要任何专门的硬件或操作系统支持。网页群集可以实现透明的复制、负载平衡以及表示内容容错。无论是网页群集，还是组件群集，对于电子商务解决方案所要求的可扩展性和可用性都是至关重要的。
目前Weblogic在全球的使用量也占居前列，据统计，在全球范围内对互联网开放Weblogic服务的资产数量多达35382台，美国和中国的Weblogic的使用量接近Weblogic总使用量的70%，其中归属中国地区的资产数量为10562台。

1.2 Weblogic活跃的几个较新版本

Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.1
Weblogic 12.2.1.2
Weblogic 12.2.1.3

Weblogic常用端口：7001

Weblogic后台登录地址：
输入 http://your-ip:7001/console 即可进入后台

1.3 Weblogic历史漏洞

#控制台路径泄露 
Weakpassword 

#SSRF： 
CVE-2014-4210 

#JAVA反序列化：
CVE-2015-4852 
CVE-2016-0638 
CVE-2016-3510 
CVE-2017-3248 
CVE-2018-2628 
CVE-2018-2893 

#任意文件上传 
CVE-2018-2894 

#XMLDecoder反序列化： 
CVE-2017-10271 
CVE-2017-3506

#CNVD-C-2019-48814

1.4 复现漏洞简要描述

#weakpassword：

Weblogic存在管理后台，通过账号密码登录，由于管理员的疏忽，经常会使用弱口令，或者默认的账户名密码。因此存在弱口令爆破的风险。
在本环境下模拟了一个真实的weblogic环境，其后台存在一个弱口令，并且前台存在任意文件读取漏洞。分别通过这两种漏洞，模拟对weblogic场景的渗透。

 

#SSRF漏洞（CVE-2014-4210）：

Weblogic中存在一个SSRF漏洞，利用该漏洞可以发送任意HTTP请求，进而可以攻击内网中redis、fastcgi等脆弱组件。

影响版本：
10.0.2, 10.3.6

 

#任意文件上传漏洞（CVE-2018-2894）：

Oracle 7月更新中，修复了Weblogic Web Service Test Page中一处任意文件上传漏洞，Web Service Test Page 在“生产模式”下默认不开启，所以该漏洞有一定限制。利用该漏洞，可以上传任意jsp文件，进而获取服务器权限。
影响版本：10.3.6，12.1.3 12.2.1.2，12.2.1.3

#XML Decoder反序列化漏洞（CVE-2017-10271）：

Weblogic的WLS Security组件对外提供webservice服务，其中使用了XMLDecoder来解析用户传入的XML数据，在解析的过程中出现反序列化漏洞，导致可执行任意命令。

影响版本：10.3.6.0，12.1.3.0.0，12.2.1.1.0

#CVE-2015-4852 
Weblogic 直接反序列化 
是基于Weblogic t3协议引起远程代码执行的反序列化漏洞 
#CVE-2016-0638 
Weblogic 直接反序列化 
基于Weblogic t3协议引起远程代码执行的反序列化漏洞 漏洞实为CVE-2015-4852绕过 拜Oracle一直以来的黑名单修复方式所赐 
#CVE-2016-3510 
基于Weblogic t3协议引起远程代码执行的反序列化漏洞 
#CVE-2017-3248 
基于Weblogic t3协议引起远程代码执行的反序列化漏洞 属于Weblogic JRMP反序列化 
#CVE-2018-2628 
基于Weblogic t3协议引起远程代码执行的反序列化漏洞 属于 Weblogic JRMP反序列化 
#CVE-2018-2893 
基于Weblogic t3协议引起远程代码执行的反序列化漏洞 实为CVE-2018-2628绕过 同样拜Oracle一直以来的黑名单修复方式所赐 属于Weblogic JRMP反序列化

 

CNVD-C-2019-48814
WebLogic wls-async 反序列化远程命令执行漏洞

该漏洞存在于wls9-async组件，这个组件主要作用是异步通讯服务，攻击者可以向/ _async / AsyncResponseService路径下构造良好的xml格式的数据，并保存在数据中的服务器端反序列化时，执行其中的恶意代码，从而可以getshell。

影响版本:
   Oracle WebLogic Server的10.3.6.0.0

   Oracle WebLogic Server的12.1.3.0.0

   Oracle WebLogic Server的12.2.1.1.0

   Oracle WebLogic Server的12.2.1.2.0