最近脆弱性の検証について、全くやっていませんでしたね。
そのため今回は話題になったWebLogic Severの脆弱性(CVE-2019-2725)の検証を行います。
私自身もそうですがこのブログでもWebLogic Severについては触れていませんでしたので、まずは環境構築を記事にしていきます。
JDKの準備
WebLogic Severの動作のためにはOracleJDKが必要になるとのことなので、まずはこちらの準備をしていきます。(OpenJDKはだめみたいです。)
以下のサイトから対応するOSのJDKをダウンロードします。
私はubuntu18なので「jdk-8u211-linux-x64.tar.gz」を落としました。
あとは以下のようにやっていきます。
$ sudo mkdir /usr/lib/jvm #JDKを配置するディレクトリを作成 $ tar zxvf jdk-12.0.1_linux-x64_bin.tar.gz #ダウンロードしたファイルを解凍 $ sudo cp -r jdk1.8.0_211 /usr/lib/jvm #解凍したディレクトリごとコピー
「/usr/lib/jvm」へのコピーが終わったら、環境変数の記載を行います。
$ sudo nano /etc/profile #profileへ以下を追記 export JAVA_HOME=/usr/lib/jvm/jdk1.8.0_211 export PATH=$PATH:$JAVA_HOME/bin: #記載後に再起動
再起動後にちゃんと適応されているか確認を行います。
$ java -version java version "1.8.0_211" Java(TM) SE Runtime Environment (build 1.8.0_211-b12) Java HotSpot(TM) 64-Bit Server VM (build 25.211-b12, mixed mode)
WebLogic Serverの準備
次にWebLogic Serverの環境を作成します。
まずはOracleのサイトからjarファイルをダウンロードしてきます。
以下のバージョンをダウンロードしました。ダウンロードしたファイル名は「fmw_12.1.3.0.0_wls.jar」でした。
ダウンロードしたファイル「fmw_12.1.3.0.0_wls.jar」をVM上へ移動し、インストールを行います。
なお、インストールはTeraTeamなどで実行するとGUIが起動しなくて失敗するので、直接VM上で行ってください。(それで多少てこずりました・・・)
$ java -jar fmw_12.1.3.0.0_wls.jar #インストールの実行
途中でユーザIDとパスワードを決めるところがありますが、それ以外はデフォルトのままで大丈夫です。(キャプチャを取り忘れていました。。。すみません。)
インストールが終了後、以下のようにWebLogicの構成が成功したと表示されますので、ドメインの場所と記載されたリンクをクリックするとフォルダが開きます。
私の環境ではディレクトリは以下の通りです。
・/home/tokoroten/Oracle/Middleware/Oracle_Home/user_projects/domains/base_domain
該当フォルダ内の「startWebLogic.sh」を実行して、しばらくするとブラウザからアクセス可能になります。
以下はアクセス可能になった際のターミナルのキャプチャです。
windowsから「http://192.168.199.129:7001/console/login/LoginForm.jsp」へアクセスすると、以下のようにログイン画面が表示されます。
これで準備は完了です。次回は実際に攻撃コードを試してみます。
所感
JDKのインストールのところでつまずいたり(OpenJDKでやっていたり)、最新バージョンをダウンロードしてインストールしてしまったりとケアレスミスがあって、なんだかんだ一日使ってしまいました(反省・・・)
実際に攻撃コードの検証は完了していますが、すでにこのブログを書いて力尽きてしまったので、次回にさせてください・・・。
やっぱり実際の手を動かすところを最近は怠けていたので、少しづつでもやっていかないとですね・・・
ってかOracleの製品ってデータベースもそうですが、扱いにくいな~と思うのは私だけですかね。
※触り足りていないってのももちろんあると思いますが・・・
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント