Weblogic 漏洞复现实验
  

TravelNight Lv7发表于 2019-4-25 13:53

CNVD-C-2019-48814 Weblogic 漏洞复现实验
4月23日CNVD 发布安全公告,Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。深信服安全在第一时间也发布了安全预警。官方现在还没有补丁,出于学习和兴趣,我自己搭环境了做了一下实验。

431515cc1487892a87.png




这里的环境均为个人搭建的虚拟机内部模拟学习环境,仅为学习交流。
模拟环境
受害者:windows server 2008、oracle weblogic 10.3.6.0       
黑客服务器:linux apache server  
1. 环境搭建
   Weblogic 的搭建这里就不太多说了,网上一搜一大把,按教程来就行

387485cc1489a7ef47.png

  搭建好了之后访问ip:7001/console 可以访问到管理页面
389315cc14a7600b2b.png


2. 开始实验
1. 在模拟黑客apache server上放置好大马,这里命名为shell.txt。
476955cc148b5db4a7.png

2. 利用工具向模拟受害者服务器发送post请求,内容是构造好的poc代码。如果服务器存在漏洞,则会执行代码,访问黑客服务器去下载webshell
     
可以看到 服务器回了一个 202 ,这个时候命令应该是执行成功了。                                                                                                                                                

592045cc148d2d0e87.png

3. 在模拟的黑客服务器上,我们查看apache的日志,发现受害者服务器已经执行了代码,下载了预置好的webshell
70375cc148fc673fd.png
4. 访问webshell页面
63115cc1491e0fadc.png
5. 成功拿下模拟受害者服务器,可以操作服务器所有东西。
467265cc1492c1f654.png
6. 执行一下CMD命令,结果成功。
8885cc14953e0e27.png
3. 危害以及防范方法
危害: 如上所示,一旦被黑客利用,黑客可以控制服务器进行操作。篡改页面,盗取数据,甚至传播勒索病毒。

防护方式:

1. 利用深信服下一代防火墙,更新到最新规则库,做好策略即可防护此类攻击。
888915cc1496eb1d77.png
2. 目前官方并没有相关补丁
  临时解决方法:
1. 配置URL访问策略,通过访问控制策略禁止对/_async/*路径的访问
2. 删除war文件及相关文件夹,并重启Weblogic服务

参考深信服安全云文章链接:https://mp.weixin.qq.com/s/Ps1GzZIKMLpunMUow-LY7g

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

Sangfor_闪电回_朱丽 发表于 2019-5-5 14:43
  
网络安全问题不容小视!
作为专业的安全厂商,面对网络安全威胁,我们会第一时间提供安全动态资讯,并为广大用户提供解决方案!

感谢楼主带来的分享!
yxl Lv2发表于 2019-5-6 16:41
  
网络安全不容小视,感谢楼主分享
studying Lv3发表于 2019-5-7 08:36
  
谢谢分享     学习中。。。。
新手261882 Lv8发表于 2019-5-7 08:54
  
很好的说明,帮助大家理解。
master Lv6发表于 2019-5-8 08:15
  
ip:7001端口如果有硬件防火墙防护,不对外开放,会受到影响么?
远方的温暖 Lv2发表于 2019-5-9 11:21
  
额.....路过
蚂蚁L Lv3发表于 2019-5-9 11:22
  
谢谢楼主分享,很受启发。
zoou Lv11发表于 2019-5-9 16:13
  
网络安全不容小视,说的真好
xixizhouping Lv3发表于 2019-5-10 10:05
  
谢谢楼主分享

×
有话想说?点这里!
可评论、可发帖

本版达人

森屿

本周分享达人

新手89792...

本周提问达人