郑重声明:所用漏洞环境为自建虚拟机vulnhub靶机环境,仅供本人学习使用。
漏洞简述
Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。
影响版本:10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 ,12.2.1.2.0
准备环境
测试机IP:192.168.79.129
靶机IP:192.168.79.131
1. 启动Vulnhub靶机环境:
2. 验证靶机应用启用成功:
3. 通过nmap扫描确认Weblogic版本
漏洞复现
引用:https://github.com/Tom4t0/Tom4t0.github.io/blob/master/_posts/2017-12-22-WebLogic%20WLS-WebServices组件反序列化漏洞分析.md
POC:
POST /wls-wsat/CoordinatorPortType11 HTTP/1.1
Host: 127.0.0.1:7001
Cache-Control: max-age=0
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.84 Safari/537.36
Upgrade-Insecure-Requests: 1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,zh-TW;q=0.7
Connection: close
Content-Type: text/xml
Content-Length: 777
方法一:手工利用
1. 能够访问/wls-wsat/CoordinatorPortType,确认漏洞存在
2. 通过Burp拦截
3. 改包重放,验证成功
#Request mode改为POST
#执行反弹命令(反弹shell的语句,需要进行编码)
3. 使用NC侦听反弹端口
4. 放包,得到反弹Shell
方法二:exploit-db脚本
1. 修改脚本
2. 使用NC侦听反弹端口
3. 执行脚本
4. 得到反弹Shell
方法三:使用MSF
但是未能得到反弹Shell
发给Burp看下exp
再执行一下,拦截成功
改一下包
使用NC侦听反弹端口
放包
得到反弹Shell