WebLogic

影响范围 Oracle WebLogic Server: 12.1.3.0.0 Oracle WebLogic Server: 12.2.1.2.0 Oracle WebLogic Server: 12.2.1.3.0 漏洞类型任意文件上传 操作系统限制无 配置要求 端口 7001 对外开放 WebLogic 管理控制台勾选启用测试服务 漏洞利用文件上传 利用原理WebLogic 包含一个用于测试 Web 服务的组件 wls-testclient，攻击者无需登录管理控制台直接访问/ws_utc/config.do，该页面允许用户设置工作目录，且缺乏权限校验，攻击者可以将路径篡改到 WebLogic 的 Web 公开目录，修改完路径后，攻击者可以上传恶意 jsp 文件，文件名为系统时间戳_文件名.jsp，该文件可以通过 HTTP 协议直接被外界请求并触发执行，通过木马可以获取服务器控制权 漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd v...

影响范围 WebLogic 10.3.6.0.0 WebLogic 12.1.3.0.0 WebLogic 12.2.1.2.0 WebLogic 12.2.1.3.0 漏洞类型Java 反序列化 操作系统限制无 配置要求 对外开放 7001 漏洞利用命令执行，反弹 shell 利用原理WebLogic 为防范反序列化设置黑名单，sun.rmi.server.UniicasetRef 不在黑名单内，T3 协议是 WebLogic 独有的通信协议，主要用于不同 Java 虚拟机之间传输对象，WebLogic 默认所以端口都支持 T3，攻击者通过 T3 协议把精心构造的 UnicastRef 序列化对象发给 WebLogic，WebLogic 反序列化对象时，会作为 JRMP 客户端主动连接攻击者服务器，攻击者服务器下发恶意 payload，此时 WebLogic，是通过 JRMP 协议进行数据传输，从而绕过最外层的 T3 协议过滤器 漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhu...

影响范围 Oracle WebLogic Server: 10.3.6.0.0 Oracle WebLogic Server: 12.1.3.0.0 Oracle WebLogic Server: 12.2.1.3.0 Oracle WebLogic Server: 12.2.1.4.0 Oracle WebLogic Server: 14.1.1.0.0 漏洞类型未授权访问、Java 反序列化 操作系统限制无 配置要求 7001 端口对外开放 漏洞利用命令执行，信息泄露，反弹 shell 利用原理WebLogic 控制台的权限检验逻辑是，如果访问静态资源则直接放行，如果是敏感的管理页面，则检查 Cookie 确认登录状态，攻击者通过构造含静态路径字段的 payload 来绕过 WebLogic 前端拦截器，访问路径为 /console/css/../console.portal，WebLogic 内部引擎会对 url 编码部分进行解码，所以攻击者通过二次 url 编码构造成/console/css/%252e%252e%252fconsole.portal，来绕过 WebL...

影响范围 WebLogic Server 12.2.1.3.0 WebLogic Server 12.2.1.4.0 WebLogic Server 14.1.1.0.0 漏洞类型未授权访问、JNDI 注入、Java 反序列化 操作系统限制无 配置要求 7001 端口对外开放 漏洞利用命令执行，反弹 shell 利用原理WebLogic 默认开启 T3 协议用于内部分布式通信，T3 协议某些接口没有对调用者进行身份校验，WebLogic 内部中的一个叫 weblogic.deployment.jms.ForeignOpaqueReference 的类是用来引用外部资源的，当把这个类的一个实例发送给 WebLogic 会触发 getReferent () 方法，WebLogic 会自动根据对象内部存储的 remoteJNDIName 发起新的请求，攻击者利用反射机制，强行将 remoteJNDIName 改成恶意的 ldap://攻击机 ip:1389/Exploit。WebLogic 访问 marshalsec（LDAP）时，marshalsec 返回一个引用对象，里面含有编...