WebLogic反序列化漏洞導(dǎo)致getshell

本文主要是講述在主機(jī)***中我們經(jīng)常使用的一條路徑（存活判斷-端口掃描-端口刪選（web端口）-針對(duì)性***（web***））進(jìn)行***，其中主要涉及發(fā)現(xiàn)漏洞、利用漏洞、獲取上傳位置等過程中自己的一點(diǎn)經(jīng)驗(yàn)技巧。簡單來說，本文主要是對(duì)某主機(jī)進(jìn)行***的全過程記錄！如有不合理或錯(cuò)誤的地方，煩請(qǐng)各位多多指教，謝謝！

1.1    主機(jī)存活判斷

當(dāng)我們得到一個(gè)主機(jī)IP時(shí)，我們首先對(duì)它進(jìn)行存活判斷，最簡單的就是通過ping命令，但是如果主機(jī)是禁ping那么我們可能會(huì)判斷失誤，因此我們需要使用nmap來再次進(jìn)行存活判斷（命令格式為：nmap –sn [ip]）。

通過使用ping命令，如圖1所示，我們可以判斷主機(jī)是存活的。

圖1      主機(jī)存活判斷

1.2    端口掃描

通過主機(jī)存活判斷，我們知道主機(jī)是存活的，接下來就是對(duì)主機(jī)進(jìn)行端口掃描，查看主機(jī)開放了哪些端口，端口掃描工具可以使用nmap、御劍等工具進(jìn)行掃描，而nmap對(duì)于掃描全端口來說，我覺得很慢（可能是我的帶寬渣吧），因此我?guī)缀醵际鞘褂糜鶆M(jìn)行端口掃描，而御劍對(duì)服務(wù)的識(shí)別卻沒有nmap那么好，看情況選擇。在主機(jī)***方面，主要是掃描一些控制類端口或者web類端口，對(duì)于控制類端口主要是使用暴力破解工具探測弱口令，運(yùn)氣好的話可能就能直接獲取服務(wù)器的控制權(quán)，而我運(yùn)氣一向不好，所以本文主要是選擇web類端口進(jìn)行著手***。另外我們可以使用nmap對(duì)主機(jī)進(jìn)行漏洞檢查（命令格式：nmap –script=vuln [ip]），但是看運(yùn)氣好不好，好的話直接掃出一個(gè)遠(yuǎn)程命令執(zhí)行的漏洞，然后可以使用但不限于metaspolit進(jìn)行利用！

如圖2，通過端口掃描我們發(fā)現(xiàn)主機(jī)開放了如下端口，我一般選擇后面帶->符號(hào)的端口，這類端口多數(shù)為web類端口（個(gè)人經(jīng)驗(yàn)，僅供參考），可以得到2個(gè)端口，我們隨便選擇一個(gè)8008進(jìn)行***（后來才發(fā)現(xiàn)2個(gè)端口的漏洞是一樣的）。

圖2      端口掃描

1.3    獲取服務(wù)器基本信息

獲取服務(wù)器基本信息的方法很多，本次將使用nc進(jìn)行獲取服務(wù)器基本信息，使用方法為：nc [ip] [port] ，然后輸入 HEAD HTTP/1.0 ，按enter將回顯服務(wù)器基本信息，如果沒有回顯，可以將1.0改為1.1試試，如圖3所示，網(wǎng)站使用jsp腳本，另外還有servlet可知該網(wǎng)站主要是java開發(fā)。（以后再遇到這種情況先使用反序列化工具驗(yàn)證下）

圖3      獲取服務(wù)器基本信息

1.4    wvs web漏洞掃描

雖然通過訪問可知，http響應(yīng)碼為404，但是依舊可以進(jìn)行掃描，看能不能發(fā)現(xiàn)目錄等相關(guān)信息。

圖4      http響應(yīng)碼404

wvs是一個(gè)自動(dòng)化的web應(yīng)用程序安全測試工具，它可以掃描可以通過web瀏覽器和遵循http或https規(guī)則的web站點(diǎn)和應(yīng)用程序。通過wvs可以掃描SQL注入、XSS、目錄檢測、版本檢測、源代碼泄露等諸多漏洞。

通過wvs掃描，如圖5可知該站點(diǎn)是oracleweblogic server，且存在weblogic ***f漏洞，由于本人實(shí)在是一個(gè)菜鳥，對(duì)***f漏洞利用只能探測內(nèi)網(wǎng)端口，無法反彈shell，路過的大神求指點(diǎn)，如何利用weblogic ***f進(jìn)行反彈shell，小的在此先謝過了。因此發(fā)現(xiàn)既然是weblogic，還是java開發(fā)的（上面初步判斷的），那就用java反序列化工具看看有沒有這個(gè)漏洞。

圖5      wvs掃描結(jié)果

1.5    發(fā)現(xiàn)weblogic反序列化漏洞

通過java反序列化漏洞利用工具驗(yàn)證，如圖6可知，該漏洞是存在的，并且知道了當(dāng)前用戶及用戶的當(dāng)前目錄等信息。

圖6      驗(yàn)證漏洞存在

1.6    上傳webshell

漏洞是存在的，并且可以利用，通過該漏洞，我們可以執(zhí)行命令、文件管理、webshell上傳，我們就選擇webshell上傳吧（增加工作量呀），但是上傳我們需要一個(gè)我們能進(jìn)行web訪問的路徑，如圖7，但是路徑在哪找呢？

圖7      上傳需要物理路徑

1.7    尋找web路徑

通過wvs，我們可以獲取到相關(guān)路徑，如圖8，但是我們需要絕對(duì)路徑，我們選擇了其中一個(gè)使用locate進(jìn)行查找，發(fā)現(xiàn)太多了，根本不好判斷是哪一個(gè)，如圖9所示。

圖8      掃描發(fā)現(xiàn)的目錄

圖9      無法判斷具體目錄

這樣就結(jié)束了嗎？當(dāng)然沒有，在上次的文章中我說過，我們可以通過查看頁面中的圖片屬性，然后來進(jìn)行web路徑的尋找。通過F12源碼審查，我們可以獲取到相關(guān)圖片的路徑，如圖10，圖11所示，此處選擇圖11的圖片路徑（因?yàn)槲易钕葤呙枘夸洅叱鰜淼闹挥?/span>console，如圖12）。

圖10     web路徑1

圖11     web路徑2

圖12     目錄掃描

1.8    查找絕對(duì)路徑

通過獲取到的圖片名稱及對(duì)應(yīng)的目錄，我們使用locate[圖片名]進(jìn)行查看，如圖13，對(duì)比發(fā)現(xiàn)即可獲取到絕對(duì)路徑（圖中第二條）。

圖13     獲取絕對(duì)路徑

1.9    上傳webshell

通過獲取到的絕對(duì)路徑及web路徑，我們即可上傳webshell，先上傳一個(gè)小馬試試（忘記截圖了，參考下面的上傳大馬），但是我們連接不上，免殺的小馬也試過了，就是不行，如圖14，服務(wù)器500錯(cuò)誤。不是k8上面有現(xiàn)成的k200pxd馬嗎，如圖15，上傳試試發(fā)現(xiàn)成功了，如圖16，k200pxd馬連接成功！但是操作很不方便，可能一時(shí)腦殼宕了，小馬不行干嘛不上傳大馬，為啥總想中國菜刀呢（太愛國了），真是丟了西瓜撿了芝麻。

  圖14     小馬連接失敗

              圖15     k200pxd馬代碼獲取

 圖16     k200pxd馬連接成功

1.10            成功獲得webshell

通過獲取的物理路徑及web路徑，重新嘗試上傳大馬，如圖17所示，上傳成功，最后訪問大馬成功，如圖18所示。

 圖17     上傳大馬成功

圖18     連接大馬成功

1.11            總結(jié)

在本次***中，主要是對(duì)weblogic反序列化漏洞進(jìn)行利用獲取webshell，而上傳的webshell要我們能訪問，所以我們就需要獲取web路徑及web路徑對(duì)應(yīng)的物理路徑，獲取web路徑一是可以掃目錄看能不能發(fā)現(xiàn)，二可以查看源代碼，看有沒有相關(guān)信息，另外還有報(bào)錯(cuò)信息泄露路徑等手段，本文主要是根據(jù)頁面中圖片的屬性結(jié)合locate命令來尋找對(duì)應(yīng)的關(guān)系。

另外在我上傳小馬過程中，總是不成功，雖然小馬上傳成功了（通過ls可以查看對(duì)應(yīng)目錄中的文件），但是訪問不了，總是報(bào)500錯(cuò)誤，菜刀也連接不上，于是想到使用k200pxd馬進(jìn)行上傳（之前遇到過上傳小馬大馬都不行，就上傳k200pxd馬可以），發(fā)現(xiàn)成功了，可能是固定思維，發(fā)現(xiàn)小馬不能上傳，一開始就沒想到要上傳大馬，連上k200pxd馬之后，感覺操作很不喜歡，才想到上傳大馬試試，最后上傳大馬成功！