Weblogic 漏洞复现实验

CNVD-C-2019-48814 Weblogic 漏洞复现实验

4月23日CNVD 发布安全公告，Oracle WebLogic wls9-async反序列化远程命令执行漏洞（CNVD-C-2019-48814）。攻击者利用该漏洞，可在未授权的情况下远程执行命令。某公司安全云在第一时间也发布了安全预警。官方现在还没有补丁，出于学习和兴趣，我自己搭环境了做了一下实验。

这里的环境均为个人搭建的虚拟机内部模拟学习环境，仅为学习交流。

模拟环境 ：

受害者：windows server 2008、oracle weblogic 10.3.6.0       

黑客服务器：linux apache server  

1. 环境搭建

   Weblogic 的搭建这里就不太多说了，网上一搜一大把，按教程来就行

  搭建好了之后访问ip:7001/console 可以访问到管理页面

2. 开始实验

1. 在模拟黑客apache server上放置好大马，这里命名为shell.txt。

2. 利用工具向模拟受害者服务器发送post请求，内容是构造好的poc代码。如果服务器存在漏洞，则会执行代码，访问黑客服务器去下载webshell。

     

可以看到 服务器回了一个 202 ，这个时候命令应该是执行成功了。                                                                                                                                                

3. 在模拟的黑客服务器上，我们查看apache的日志，发现受害者服务器已经执行了代码，下载了预置好的webshell。

4. 访问webshell页面

5. 成功拿下模拟受害者服务器，可以操作服务器所有东西。

6. 执行一下CMD命令，结果成功。

3. 危害以及防范方法

危害： 如上所示，一旦被黑客利用，黑客可以控制服务器进行操作。篡改页面，盗取数据，甚至传播勒索病毒。

防护方式：

1. 利用某公司下一代防火墙，更新到最新规则库，做好策略即可防护此类攻击。

2. 目前官方并没有相关补丁

  临时解决方法：

1. 配置URL访问策略，通过访问控制策略禁止对/_async/*路径的访问

2. 删除war文件及相关文件夹，并重启Weblogic服务

参考某公司安全云文章链接：https://mp.weixin.qq.com/s/Ps1GzZIKMLpunMUow-LY7g