应急演练之weblogic

  应急演练weblogic漏洞,CVE-2017-3506,本来想通过vulhub.org来做复现,但是由于种种原因的问题,还是直接搭建了一个weblogic,过程还是比较简单的,搭建过程比较简单,主要还是需要配合各种安全设备包括态势感知,防火墙,IDS等设备进行展示,这个就需要根据“实际”进行操作。

0x01:

环境如下:

UbuntuLinux ubuntu 4.8.0-36-generic #36~16.04.1-Ubuntu SMP Sun Feb 5 09:39:41 UTC 2017 i686 i686 i686 GNU/Linux

Weblogicwls1036_linux32.bin

下载地址:http://download.oracle.com/otn/linux/middleware/11g/wls/1036/wls1036_linux32.bin

其实在weblogic.bin中已经集成了jdk1.6的版本,根本不需要去下载安装jdk。

安装的过程极其简单,直接安装.bin文件,一路回车即可,在安装过程中会让你设置weblogic的账号密码,端口,是否启用ssl等敏感操作。

0x02:

开启weblogic

大概需要等待2-3分钟

0x03:

使用Weblogic XML反序列化漏洞检查工具CVE-2017-10271测试

成功上传webshell

http://x.x.x.x:8844/wls-wsat/shell.jsp

路径:

/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat/54p17w/war/

通过webshell上传挖矿程序

(1)此挖矿程序并不是真正意义的挖矿,而是通过让cpu狂飙100%,用来代替挖矿

(2)同时通过top命令,实时监控CPU状态

(3)通过ll /proc/pid此命令查找该程序所在目录

(4)查看网络连接、日志等

0x04:

通过webshell_kill.py去检测oracle目录下所有的jsp文件,同时根据文件名+内容进行检测,查杀webshell,同时对查询出来的IP地址加入黑名单

修复方案:升级或删除漏洞触发目录

tips:

查看weblogic版本:/home/weblogic/Oracle/Middleware/logs/log.txt

日志查询:/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/log/

webshel_kill.py+cpu飙升脚本下载地址

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注

1 × 5 =