中間件漏洞總結（二）- WebLogic

（一） WebLogic簡介

　　WebLogic是美國Oracle公司出品的一個applicationserver，確切的說是一個基於JAVAEE架構的中間件，WebLogic是用於開發、集成、部署和管理大型分布式Web應用、網絡應用和　　數據庫應用的Java應用服務器。將Java的動態功能和Java Enterprise標准的安全性引入大型網絡應用的開發、集成、部署和管理之中。

（二） 反序列化漏洞

　　1、 漏洞簡介及成因

　　　　Java序列化，簡而言之就是把java對象轉化為字節序列的過程。而反序列話則是再把字節序列恢復為java對象的過程，然而就在這一轉一變得過程中，程序員的過濾不嚴格，就可以導致惡意構造的代碼的實現。

　　2、漏洞復現

　　　　使用vulhub實驗環境，啟動實驗環境，訪問靶機，抓包，修改數據包。

　　　　

 

 

 　　　　Kali啟動監聽。

　　　　發送數據包成功后，拿到shell。

　　　　

 

 

 　　3、漏洞修復

　　　　1）升級Oracle 10月份補丁。

　　　　2）對訪問wls-wsat的資源進行訪問控制。

（三） SSRF

　　1、 漏洞簡介及成因

　　　　Weblogic 中存在一個SSRF漏洞，利用該漏洞可以發送任意HTTP請求，進而攻擊內網中redis、fastcgi等脆弱組件。

　　2、 漏洞復現

　　　　使用vulhub實驗環境，啟動環境。

　　　　訪問http://192.168.139.129:7001/uddiexplorer/SearchPublicRegistries.jsp。

　　　　

 

 

 　　　　用burp抓包，修改請求。

　　　　

 

 

 　　　　啟動nc監聽2222端口。

　　　　

 

 

 　　　　拿到shell。

　　3、 漏洞修復

　　　　方法一：

　　　　以修復的直接方法是將SearchPublicRegistries.jsp直接刪除就好了；

　　　　方法二：

　　　　1）刪除uddiexplorer文件夾

　　　　2）限制uddiexplorer應用只能內網訪問

　　　　方法三：（常用）

　　　　Weblogic服務端請求偽造漏洞出現在uddi組件（所以安裝Weblogic時如果沒有選擇uddi組件那么就不會有該漏洞），更准確地說是uudi包實現包uddiexplorer.war下的　　　　　　　　SearchPublicRegistries.jsp。方法二采用的是改后輟的方式，修復步驟如下：

　　　　1）將weblogic安裝目錄下的wlserver_10.3/server/lib/uddiexplorer.war做好備份

　　　　2）將weblogic安裝目錄下的server/lib/uddiexplorer.war下載

　　　　3）用winrar等工具打開uddiexplorer.war

（四） 任意文件上傳

　　　1、 漏洞簡介及成因

　　　　通過訪問config.do配置頁面，先更改Work Home工作目錄，用有效的已部署的Web應用目錄替換默認的存儲JKS Keystores文件的目錄，之后使用”添加Keystore設置”的功　　　　　能，可上傳惡意的JSP腳本文件。

　　　2、 漏洞復現

　　　　訪問http://192.168.139.129:7001/ws_utc/config.do。

　　　　4)將其下的SearchPublicRegistries.jsp重命名為SearchPublicRegistries.jspx

　　　　5）保存后上傳回服務端替換原先的uddiexplorer.war

　　　　6）對於多台主機組成的集群，針對每台主機都要做這樣的操作

　　　　7）由於每個server的tmp目錄下都有緩存所以修改后要徹底重啟weblogic（即停應用–停server–停控制台–啟控制台–啟server–啟應用）

　　　　

 

 

 　　　　設置Work Home Dir為`/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y　　　　　/war　　　　/css`。

　　　　然后點擊安全 -> 增加，然后上傳 webshell ，這里我上傳一個 jsp 大馬。

　　　　

 

 

 　　　　上傳后，查看返回的數據包，其中有時間戳：

　　　　

 

 

 　　　　可以看到時間戳為1543145154632。

　　　　訪問http://192.168.139.129:7001/ws_utc/css/config/keystore/1543145154632_lele.jsp。

　　　　可以進行文件管理、文件上傳、系統命令執行等。

　　　　

 

 

 　　　　嘗試以下執行系統命令。

　　　　

 

 

 　　　　命令執行成功。

　　3、 漏洞修復

　　　　方案1：

　　　　使用Oracle官方通告中的補丁鏈接：

　　　　http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

               https://support.oracle.com/rs?type=doc&id=2394520.1

　　　　方案2:

　　　　1）進入Weblogic Server管理控制台；

　　　　2）domain設置中，啟用”生產模式”。

（五） war后門文件部署

　　1、 漏洞簡介及成因

　　　　由於WebLogic后台存在弱口令，可直接登陸后台上傳包含后門的war包。

　　2、 漏洞復現

　　　　訪問http://192.168.139.129:7001/console

　　　　

 

 　　　　使用弱口令登陸至后台。

　　　　點擊鎖定並編輯

　　　　

 

 　　　　選擇部署，進一步點擊右邊的安裝。

　　　　

 

 　　　　點擊上傳文件 — 進入文件上傳界面，選擇要上傳的 war 包。

　　　　

 

 　　　　進入下一步，選擇對應的 war 包進行部署，下一步下一步直至完成。

　　　　

 

 　　　　

 

 　　　　

 

 　　　　點擊激活更改。

　　　　

 

 　　　　啟動上傳的 war 包所生成的服務。

　　　　

 

 　　　　拿到 webshell。

　　　　

 

 　　3、 漏洞修復

　　　　防火牆設置端口過濾，也可以設置只允許訪問后台的IP列表，避免后台弱口令。