weblogic攻击手法有哪些

WebLogic 作为企业级 Java 应用服务器，历史上存在多种高危漏洞，攻击者常利用以下手法进行攻击。以下是主要攻击方式及防御建议：

一、常见攻击手法

1. 反序列化漏洞

   • CVE案例：CVE-2015-4852、CVE-2017-3248、CVE-2018-2628
   • 攻击方式：通过T3、IIOP等协议发送恶意序列化数据，触发RCE（远程代码执行）。
   • 利用工具：ysoserial、JRMPListener。

2. XMLDecoder反序列化（CVE-2017-10271）

   • 漏洞组件：WLS-WebServices
   • 攻击特征：构造恶意XML请求/wls-wsat/CoordinatorPortType，导致任意命令执行。

3. 未授权访问控制台

   • 默认端口：7001（管理控制台）
   • 攻击方式：弱口令爆破（如weblogic/Oracle@123）、默认配置未修改管理路径。

4. SSRF漏洞（CVE-2014-4210）

   • 漏洞组件：UDDI组件
   • 利用效果：通过/uddiexplorer/SearchPublicRegistries.jsp探测内网或攻击Redis等脆弱服务。

5. JNDI注入（CVE-2021-2109）

   • 利用条件：WebLogic 10.3.6.0.0及以上版本
   • 攻击方式：通过JNDI lookup触发LDAP/RMI恶意引用，导致RCE。

6. 路径遍历/文件读取

   • 案例：CVE-2019-2618（任意文件上传）、CVE-2020-14882（未授权文件读取）
   • 路径示例：/console/images/%252e%252e%252fWEB-INF/classes/properties.txt

7. IIOP协议漏洞

   • CVE案例：CVE-2020-2551（IIOP反序列化）
   • 利用工具：JNDI-Injection-Exploit。

二、防御建议

1. 补丁管理

   • 定期更新WebLogic至最新版本，优先修复上述CVE漏洞。
   • Oracle季度补丁（CPU）下载地址：Oracle Critical Patch Updates。

2. 网络层防护

   • 限制T3/IIOP协议的外部访问（防火墙规则）。
   • 关闭非必要端口（如7001仅允许内网访问）。

3. 安全配置

   • 修改默认管理密码，启用强密码策略。
   • 删除或禁用wls-wsat、uddiexplorer等高风险组件。
   • 禁用XMLDecoder反序列化功能。

4. 监控与日志

   • 监控异常T3/IIOP请求流量。
   • 分析日志中的/wls-wsat/、/uddiexplorer/等路径访问记录。

5. 加固措施

   • 使用Java Security Manager限制权限。
   • 部署WAF规则拦截反序列化攻击特征（如java.rmi.server.RemoteObject）。

三、应急响应

• 检测命令：
  bash netstat -antp | grep 7001 # 检查可疑连接 grep "weblogic" /var/log/weblogic/access.log | grep "POST /wls-wsat/"
• 修复步骤：
  1. 立即隔离受影响服务器。
  2. 应用临时补丁或禁用漏洞组件。
  3. 审计服务器是否存在后门（如webshell、挖矿进程）。

四、参考工具

• 漏洞检测：Nmap（nmap -sV --script=weblogic-t3-info）、vulhub靶场。
• 利用框架：Metasploit（exploit/multi/misc/weblogic_deserialize）。

通过以上措施可显著降低WebLogic服务器的攻击风险。建议结合企业实际环境进行深度加固。