※勉強目的のみ。悪用厳禁。
ローカルの検証環境で実行しています。
情報
www.thezdi.com www.zerodayinitiative.com jp.tenable.com
インストール
Oracle WebLogic Server 12.2.1.4.0(脆弱なバージョン)
↓からダウンロード
www.oracle.com
OSはubuntuを使用。
Javaが必要だということで、openjdkをインストールしたが、openjdkは使えないとのことだったので普通のjavaをインストール。
www.oracle.com
「.bashrc」にパスを通して、完了。
インストールはデフォルトの設定。
Oracle WebLogic Server 14.1.1.0(修正バージョン)も同じ。
脆弱性検証
pocダウンロード。
javaファイルだったのでeclipseで準備。
burpのCollaborator宛にcurl飛ばしてRCE出来たか確認する。
脆弱性なバージョンで実行。
weblogicのバージョンが表示されている。
Collaboratorに反応アリ。
curlコマンドが実行されたことが確認できた。
サーバ側のログ。
修正バージョンで実行。
Collaboratorに反応ナシ。
サーバ側のログ。
エラー発生クラスが違う。
wiresharkでのキャプチャ内容。
よくわからず。
以下記事で詳細が書いてあるが、全体的にわからず。
今後の課題とし、検証は終了。
www.thezdi.com
感想
認証がいらず、RCEまでいけるのでweblogicっぽかったらやってみてもいいと思った。
リクエストがhttpではなかったので、burpではできなさそう。
また、現状pocがjavaファイルなので、気軽には実行できない。
ただ、javaの環境が整ってしまえばcurlとCollaboratorの組み合わせでscannerのように使えるので、やりやすいかも。
仕組みはわからなかったが、RCEは簡単だった。
RCEの原因として多いJavaのデシリアライズの問題のため、他のCVEも検証して理解を深めていこうと思う。