1.1 叙述
Weblogic是美国Oracle公司出品的一个应用服务器(application server),确切的说是一个基于Java EE架构的中间件,是用于开发、集成、部署和管理大型分布式Web应用、网络应用和 数据库应用的Java应用服务器。
Weblogic将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中,是商业市场上主要的Java(Java EE)应用服务器软件之一,也是世界上第一个成功商业化的Java EE应用服务器,具有可扩展性、快速开发、灵活、可靠等优势。
在功能性上,Weblogic是Java EE的全能应用服务器,包括EJB 、JSP、servlet、JMS等,是商业软件里排名第一的容器(JSP、servlet、EJB等),并提供其他工具(例如Java编辑器),因此也是一个综合的开发及运行环境。
在扩展性上,Weblogic Server凭借其出色的群集技术,拥有处理关键Web应用系统问题所需的性能、可扩展性和高可用性。Weblogic Server既实现了网页群集,也实现了EJB组件群集,而且不需要任何专门的硬件或操作系统支持。网页群集可以实现透明的复制、负载平衡以及表示内容容错。无论是网页群集,还是组件群集,对于电子商务解决方案所要求的可扩展性和可用性都是至关重要的。
目前Weblogic在全球的使用量也占居前列,据统计,在全球范围内对互联网开放Weblogic服务的资产数量多达35382台,美国和中国的Weblogic的使用量接近Weblogic总使用量的70%,其中归属中国地区的资产数量为10562台。
1.2 Weblogic活跃的几个较新版本
Weblogic 10.3.6.0Weblogic 12.1.3.0Weblogic 12.2.1.1Weblogic 12.2.1.2Weblogic 12.2.1.3Weblogic常用端口:7001
Weblogic后台登录地址:
输入 http://your-ip:7001/console 即可进入后台
1.3 Weblogic历史漏洞
#控制台路径泄露 Weakpassword #SSRF: CVE-2014-4210 #JAVA反序列化:CVE-2015-4852 CVE-2016-0638 CVE-2016-3510 CVE-2017-3248 CVE-2018-2628 CVE-2018-2893 #任意文件上传 CVE-2018-2894 #XMLDecoder反序列化: CVE-2017-10271 CVE-2017-3506#CNVD-C-2019-488141.4 复现漏洞简要描述
#weakpassword:Weblogic存在管理后台,通过账号密码登录,由于管理员的疏忽,经常会使用弱口令,或者默认的账户名密码。因此存在弱口令爆破的风险。在本环境下模拟了一个真实的weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。分别通过这两种漏洞,模拟对weblogic场景的渗透。#SSRF漏洞(CVE-2014-4210):Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而可以攻击内网中redis、fastcgi等脆弱组件。影响版本:10.0.2, 10.3.6
#任意文件上传漏洞(CVE-2018-2894):Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在“生产模式”下默认不开启,所以该漏洞有一定限制。利用该漏洞,可以上传任意jsp文件,进而获取服务器权限。影响版本:10.3.6,12.1.3 12.2.1.2,12.2.1.3 #XML Decoder反序列化漏洞(CVE-2017-10271):Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。影响版本:10.3.6.0,12.1.3.0.0,12.2.1.1.0 #CVE-2015-4852 Weblogic 直接反序列化 是基于Weblogic t3协议引起远程代码执行的反序列化漏洞 #CVE-2016-0638 Weblogic 直接反序列化 基于Weblogic t3协议引起远程代码执行的反序列化漏洞 漏洞实为CVE-2015-4852绕过 拜Oracle一直以来的黑名单修复方式所赐 #CVE-2016-3510 基于Weblogic t3协议引起远程代码执行的反序列化漏洞 #CVE-2017-3248 基于Weblogic t3协议引起远程代码执行的反序列化漏洞 属于Weblogic JRMP反序列化 #CVE-2018-2628 基于Weblogic t3协议引起远程代码执行的反序列化漏洞 属于 Weblogic JRMP反序列化 #CVE-2018-2893 基于Weblogic t3协议引起远程代码执行的反序列化漏洞 实为CVE-2018-2628绕过 同样拜Oracle一直以来的黑名单修复方式所赐 属于Weblogic JRMP反序列化
CNVD-C-2019-48814WebLogic wls-async 反序列化远程命令执行漏洞该漏洞存在于wls9-async组件,这个组件主要作用是异步通讯服务,攻击者可以向/ _async / AsyncResponseService路径下构造良好的xml格式的数据,并保存在数据中的服务器端反序列化时,执行其中的恶意代码,从而可以getshell。影响版本: Oracle WebLogic Server的10.3.6.0.0 Oracle WebLogic Server的12.1.3.0.0 Oracle WebLogic Server的12.2.1.1.0 Oracle WebLogic Server的12.2.1.2.0