文章详细介绍了Weblogic中的CVE-2019-2890高危漏洞,该漏洞允许攻击者通过T3协议实现远程代码执行。受影响的Weblogic版本包括10.3.6.0、12.1.3.0和12.2.1.3。渗透测试步骤包括端口扫描、漏洞检测和利用,以及通过wget上传和利用webshell进行控制。
weblogic-CVE2019-2890
漏洞详情
2019年10月15日,Oracle官方发布了2019年10月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞,漏洞编号为CVE-2019-2890。
Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单,使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。
漏洞影响
- WebLogic Server 10.3.6.0
- WebLogic Server 12.1.3.0
- WebLogic Server 12.2.1.3
渗透测试
前期通过nmap端口扫描,探针到目标存在7001端口,访问测试
可以明显发现对方使用weblogic中间件进行搭建
利用weblogic漏扫脚本进行探针是否存在漏洞
发现对方存在CVE2019-2890反序列化漏洞,可以通过反序列化漏洞利用命令执行进行getshell
利用wget命令进行上传webshell
访问shell文件,看是否上传成功
利用冰蝎getshell
利用冰蝎进行反弹shell
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
