|
CNVD-C-2019-48814 Weblogic 漏洞复现实验 4月23日CNVD 发布安全公告,Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。某公司安全云在第一时间也发布了安全预警。官方现在还没有补丁,出于学习和兴趣,我自己搭环境了做了一下实验。
这里的环境均为个人搭建的虚拟机内部模拟学习环境,仅为学习交流。 模拟环境 : 受害者:windows server 2008、oracle weblogic 10.3.6.0 黑客服务器:linux apache server 1. 环境搭建 Weblogic 的搭建这里就不太多说了,网上一搜一大把,按教程来就行
搭建好了之后访问ip:7001/console 可以访问到管理页面
2. 开始实验 1. 在模拟黑客apache server上放置好大马,这里命名为shell.txt。
2. 利用工具向模拟受害者服务器发送post请求,内容是构造好的poc代码。如果服务器存在漏洞,则会执行代码,访问黑客服务器去下载webshell。 可以看到 服务器回了一个 202 ,这个时候命令应该是执行成功了。
3. 在模拟的黑客服务器上,我们查看apache的日志,发现受害者服务器已经执行了代码,下载了预置好的webshell。 4. 访问webshell页面 5. 成功拿下模拟受害者服务器,可以操作服务器所有东西。 6. 执行一下CMD命令,结果成功。 3. 危害以及防范方法
危害: 如上所示,一旦被黑客利用,黑客可以控制服务器进行操作。篡改页面,盗取数据,甚至传播勒索病毒。
防护方式:
1. 利用某公司下一代防火墙,更新到最新规则库,做好策略即可防护此类攻击。 2. 目前官方并没有相关补丁 临时解决方法: 1. 配置URL访问策略,通过访问控制策略禁止对/_async/*路径的访问 2. 删除war文件及相关文件夹,并重启Weblogic服务
参考某公司安全云文章链接:https://mp.weixin.qq.com/s/Ps1GzZIKMLpunMUow-LY7g | 
发表于 2019-4-25 13:53
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
