影響產品:
Oracle WebLogic Server10.3.6.0.0
Oracle WebLogic Server12.1.3.0.0
影響組件:
wls9_async_response.war
wls-wsat.war
本次環境:
Oracle WebLogic Server10.3.6.0.0
0x01 首先判斷組件是否存在
1、可通過訪問路徑/_async/AsyncResponseServiceSoap12判斷wls9_async_response組件是否存在。
2、可通過訪問路徑/wls-wsat/CoordinatorPortType,判斷wls-wsat組件是否存在。
0x02 驗證poc
抓包,替換為poc,可以看到成功執行了代碼(需要poc的可以留言)
0x03 修復建議
1、刪除wls9_async_response.war和wls-wsat.war文件及相關文件夾並重啟Weblogic服務。具體路徑為:
10.3.*版本:
\Middleware\wlserver_10.3\server\lib\
%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
12.1.3版本:
\Middleware\Oracle_Home\oracle_common\modules\
%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
2、通過訪問策略控制禁止 /_async/* 路徑的URL訪問
3、及時升級支持Weblogic的Java版本。
參考鏈接:
https://www.anquanke.com/post/id/180390
https://mp.weixin.qq.com/s/mGi8SF3XYOfELHQmWlpr1Q