Weblogic反序列化RCE复现(CVE-2019-2725)
漏洞-介绍
Oracle WebLogic Server是一个企业应用程序服务器。
由于反序列化输入信息,Oracle WebLogic Server容易出现远程命令执行漏洞。具体来说,此问题会影响’wls9_async’和’wls-wsat’组件。攻击者可以利用此问题执行任意命令。
攻击者可以利用此问题在运行受影响的应用程序的用户的上下文中执行任意命令。漏洞利用尝试失败可能导致拒绝服务条件。
漏洞-影响版本
Oracle WebLogic Server:
- 10.X.X.X.X
- 12.1.3.0.0
漏洞-环境搭建
用的vulhub CVE-2017-10271 两者影响版本差不多
漏洞-验证
访问…/_async和…/_async/AsyncResponseService来测试是否启用了wls9_asyn组件,则存在该漏洞
访问http://192.168.32.140:7001/_async/
403禁止访问代表存在
访问http://192.168.32.140:7001/_async/AsyncResponseService
本机开启nc监听7777端口,为后面反弹shell做准备
构造poc
1 | POST /_async/AsyncResponseService HTTP/1.1 |
打开burp,抓包-改包-发包
反弹shell成功
漏洞-修复建议
删除该war包并重启WebLogic服务,具体文件路径如下:
Weblogic9*版本:
1
/%WLS_HOME%/weblogic92/server/lib/bea_wls9_async_response.war
Weblogic 10*版本:
1
/%WLS_HOME%/wlserver_10.3/server/lib/bea_wls9_async_response.war
Weblogic12*版本:
1
/%WLS_HOME%/oracle_common/modules/com.oracle.webservices.wls.bea-wls9-async-response_12.1.3.war
注:wls9_async_response.war属于一级应用包,对其进行移除或更名操作可能造成未知的后果,Oracle官方不建议对其进行此类操作。
通过访问策略控制禁止
/_async/*
路径的URL访问官方补丁:https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html