前言:
CVE-2020-14882这个漏洞我记得20年是秋冬之际,当时是在驻场,还好外网没有这个漏洞,大多数是在内网,当时还是个小白,只会用也不明白其原理,现在回过头来看,又有了新的理解。
环境:
weblogic12.2.1.4.0
jdk8u_121
代码分析:
鉴权代码分析:
CVE-2020-14882是权限绕过漏洞,所以我们直接切入主题,找到鉴权的代码,在idea中双击shift,查找doSecuredExecute
方法。
此方法存在于\middleware\wlserver\modules\com.oracle.weblogic.servlet.jar!\weblogic\servlet\internal\WebAppServletContext.class
WebAppServletContext类,可以看到中间有个servlet单词,servlet我们很熟悉了,servlet在内存马那块我们学习过,就是就相当于前置代码,所有请求先到我这里处理。上图可以看到1893行的checkAccess方法是检查权限的,这里我们还是利用奇安信的集成好的项目搭建12.2.14.0版本的weblogic。
跟进checkAccess方法:
我这里进入之后,会直接跳到474行throw var7;
然后就走到下面重载的checkAccess方法,这里很奇怪,代码中是在468行调用了重载后的方法,我在那里下断点没断到,直接进入了重载后的方法,有知道的带佬可以留言交流。
接下来491行就是检查路径资源,跟进:
我们可以看到出入的参数是浏览器访问的路径和方法,再在this.constraintsMap中查询是否为安全路径。this.constraintsMap集合中的键值对和web.xml中的security-constraint节点是对应的。
如果我们访问的是除上面之外的url,得到的resourceConstraint变量的unrestricted就是false,我们访问的是/console/console.portal,不在安全访问标签里,也就是受限制。
受限制之后,出来之后回到checkAccess方法,到511行isAuthorized()