WebLogic反序列化漏洞导致getshell

本文主要是讲述在主机***中我们经常使用的一条路径（存活判断-端口扫描-端口删选（web端口）-针对性***（web***））进行***，其中主要涉及发现漏洞、利用漏洞、获取上传位置等过程中自己的一点经验技巧。简单来说，本文主要是对某主机进行***的全过程记录！如有不合理或错误的地方，烦请各位多多指教，谢谢！

1.1    主机存活判断

当我们得到一个主机IP时，我们首先对它进行存活判断，最简单的就是通过ping命令，但是如果主机是禁ping那么我们可能会判断失误，因此我们需要使用nmap来再次进行存活判断（命令格式为：nmap –sn [ip]）。

通过使用ping命令，如图1所示，我们可以判断主机是存活的。

图1      主机存活判断

1.2    端口扫描

通过主机存活判断，我们知道主机是存活的，接下来就是对主机进行端口扫描，查看主机开放了哪些端口，端口扫描工具可以使用nmap、御剑等工具进行扫描，而nmap对于扫描全端口来说，我觉得很慢（可能是我的带宽渣吧），因此我几乎都是使用御剑进行端口扫描，而御剑对服务的识别却没有nmap那么好，看情况选择。在主机***方面，主要是扫描一些控制类端口或者web类端口，对于控制类端口主要是使用暴力破解工具探测弱口令，运气好的话可能就能直接获取服务器的控制权，而我运气一向不好，所以本文主要是选择web类端口进行着手***。另外我们可以使用nmap对主机进行漏洞检查（命令格式：nmap –script=vuln [ip]），但是看运气好不好，好的话直接扫出一个远程命令执行的漏洞，然后可以使用但不限于metaspolit进行利用！

如图2，通过端口扫描我们发现主机开放了如下端口，我一般选择后面带->符号的端口，这类端口多数为web类端口（个人经验，仅供参考），可以得到2个端口，我们随便选择一个8008进行***（后来才发现2个端口的漏洞是一样的）。

图2      端口扫描

1.3    获取服务器基本信息

获取服务器基本信息的方法很多，本次将使用nc进行获取服务器基本信息，使用方法为：nc [ip] [port] ，然后输入 HEAD HTTP/1.0 ，按enter将回显服务器基本信息，如果没有回显，可以将1.0改为1.1试试，如图3所示，网站使用jsp脚本，另外还有servlet可知该网站主要是java开发。（以后再遇到这种情况先使用反序列化工具验证下）

图3      获取服务器基本信息

1.4    wvs web漏洞扫描

虽然通过访问可知，http响应码为404，但是依旧可以进行扫描，看能不能发现目录等相关信息。

图4      http响应码404

wvs是一个自动化的web应用程序安全测试工具，它可以扫描可以通过web浏览器和遵循http或https规则的web站点和应用程序。通过wvs可以扫描SQL注入、XSS、目录检测、版本检测、源代码泄露等诸多漏洞。

通过wvs扫描，如图5可知该站点是oracleweblogic server，且存在weblogic ***f漏洞，由于本人实在是一个菜鸟，对***f漏洞利用只能探测内网端口，无法反弹shell，路过的大神求指点，如何利用weblogic ***f进行反弹shell，小的在此先谢过了。因此发现既然是weblogic，还是java开发的（上面初步判断的），那就用java反序列化工具看看有没有这个漏洞。

图5      wvs扫描结果

1.5    发现weblogic反序列化漏洞

通过java反序列化漏洞利用工具验证，如图6可知，该漏洞是存在的，并且知道了当前用户及用户的当前目录等信息。

图6      验证漏洞存在

1.6    上传webshell

漏洞是存在的，并且可以利用，通过该漏洞，我们可以执行命令、文件管理、webshell上传，我们就选择webshell上传吧（增加工作量呀），但是上传我们需要一个我们能进行web访问的路径，如图7，但是路径在哪找呢？

图7      上传需要物理路径

1.7    寻找web路径

通过wvs，我们可以获取到相关路径，如图8，但是我们需要绝对路径，我们选择了其中一个使用locate进行查找，发现太多了，根本不好判断是哪一个，如图9所示。

图8      扫描发现的目录

图9      无法判断具体目录

这样就结束了吗？当然没有，在上次的文章中我说过，我们可以通过查看页面中的图片属性，然后来进行web路径的寻找。通过F12源码审查，我们可以获取到相关图片的路径，如图10，图11所示，此处选择图11的图片路径（因为我最先扫描目录扫出来的只有console，如图12）。

图10     web路径1

图11     web路径2

图12     目录扫描

1.8    查找绝对路径

通过获取到的图片名称及对应的目录，我们使用locate[图片名]进行查看，如图13，对比发现即可获取到绝对路径（图中第二条）。

图13     获取绝对路径

1.9    上传webshell

通过获取到的绝对路径及web路径，我们即可上传webshell，先上传一个小马试试（忘记截图了，参考下面的上传大马），但是我们连接不上，免杀的小马也试过了，就是不行，如图14，服务器500错误。不是k8上面有现成的k200pxd马吗，如图15，上传试试发现成功了，如图16，k200pxd马连接成功！但是操作很不方便，可能一时脑壳宕了，小马不行干嘛不上传大马，为啥总想中国菜刀呢（太爱国了），真是丢了西瓜捡了芝麻。

  图14     小马连接失败

              图15     k200pxd马代码获取

 图16     k200pxd马连接成功

1.10            成功获得webshell

通过获取的物理路径及web路径，重新尝试上传大马，如图17所示，上传成功，最后访问大马成功，如图18所示。

 图17     上传大马成功

图18     连接大马成功

1.11            总结

在本次***中，主要是对weblogic反序列化漏洞进行利用获取webshell，而上传的webshell要我们能访问，所以我们就需要获取web路径及web路径对应的物理路径，获取web路径一是可以扫目录看能不能发现，二可以查看源代码，看有没有相关信息，另外还有报错信息泄露路径等手段，本文主要是根据页面中图片的属性结合locate命令来寻找对应的关系。

另外在我上传小马过程中，总是不成功，虽然小马上传成功了（通过ls可以查看对应目录中的文件），但是访问不了，总是报500错误，菜刀也连接不上，于是想到使用k200pxd马进行上传（之前遇到过上传小马大马都不行，就上传k200pxd马可以），发现成功了，可能是固定思维，发现小马不能上传，一开始就没想到要上传大马，连上k200pxd马之后，感觉操作很不喜欢，才想到上传大马试试，最后上传大马成功！