WebLogic XMLDecoder反序列化漏洞复现

先搭建环境吧!!

环境

环境说明:

1
2
3
Windows:Windows 2003
WebLogic:fmw_12.1.3.jar
Java:jdk1.8.0_144

Weblogic官网下载地址

1
http://www.oracle.com/technetwork/middleware/weblogic/downloads/wls-for-dev-1703574.html

安装WeblogicCMD要启用系统权限启动。

Weblogic_1

默认安装

Weblogic_2

结果安装结束,没见到7001端口开启,发现没启动,路径:\domains\base_domain\bin\startWebLogic.cmd

Weblogic_3

漏洞复现

成功启动,接下来为漏洞复现

Weblogic_poc

也成功复现,根据python写了一个麻瓜式的C#可视化工具。

漏洞利用

既然能直接执行命令,那就直接运行个hta就可以了。

Weblogic_exploit

上图中的内网IP不一致,那是因为多网卡原因。

linux系统也是一样的,直接弹shell回来就好了。

!坚持技术分享,您的支持将鼓励我继续创作!