weblogic 未授权命令执行漏洞(CVE-2020-14882)复现

最新推荐文章于 2024-05-14 10:45:34 发布
最新推荐文章于 2024-05-14 10:45:34 发布
阅读量1.7w 收藏 20
点赞数 9
分类专栏: 安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuandao_ahfengren/article/details/109364543
版权

简介

 

WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

漏洞概述

 

未经身份验证的远程攻击者可能通过构造特殊的 HTTP GET请求,利用该漏洞在受影响的 WebLogic Server 上执行任意代码。

影响版本

 

Oracle Weblogic Server 10.3.6.0.0

Oracle Weblogic Server 12.1.3.0.0

Oracle Weblogic Server 12.2.1.3.0

Oracle Weblogic Server 12.2.1.4.0

Oracle Weblogic Server 14.1.1.0.0

 

环境搭建

本次测试版本WebLogic12.2.1.4

https://www.oracle.com/middleware/technologies/weblogic-server-installers-downloads.html
最低0.47元/天 解锁文章
玄道网安
关注
  • 9
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
Weblogic授权访问以及LADP远程代码执行CVE-2021-2109)
hackzkaq的博客
05-14 1488
1.影响版本: WebLogic Server10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 实验环境: 攻击机:kalilinux 10.1.1.10 靶机: 10.1.1.109 2.weblogic授权访问: 对目标地址的7001端口直接访问 构造绕过授权url: ip:7001/console/css/%252e%252e%252f/consolejndi.portal 其中%252e%25
CVE-2020-14882​&14883:Weblogic RCE1
08-03
声明:请勿用作违法用途,否则后果自负0x01 简介用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。0x02 漏洞概述编
漏洞Weblogic授权命令执行漏洞CVE-2020-14882)
weixin_43486390的博客
12-17 2001
CVE-2020-14882
Weblogic 管理控制台授权远程命令执行漏洞CVE-2020-14882,CVE-2020-14883)
最新发布
weixin_45653478的博客
05-14 942
Weblogic Pre-Auth Remote Command Execution 漏洞CVE-2020-14882, CVE-2020-14883)是针对 Oracle WebLogic Server 的两个安全漏洞CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证,而 CVE-2020-14883 则允许经过身份验证的用户在管理员控制台组件上执行任意命令
Weblogic Console HTTP协议远程代码执行漏洞CVE-2020-14882)
chaojixiaojingang
10-30 4144
1.漏洞描述 经身份验证的远程攻击者可通过构造特殊的 HTTP GE请求,利用该漏洞在受影响的WebLogic Server上执行任意代码。 2.影响版本 Oracle Weblogic Server 10.3.6.0.0 Oracle Weblogic Server 12.1.3.0.0 Oracle Weblogic Server 12.2.1.3.0 Oracle Weblogic Server 12.2.1.4.0 Oracle Weblogic Server 14.1.1.0.0
Weblogic (weak_password)漏洞
huangyongkang666的博客
07-22 1793
Weblogic (weak_password)漏洞
使用授权oracle赔偿,Weblogic授权访问及命令执行分析CVE-2020-14882/14883) - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou....
weixin_28975553的博客
04-15 291
‘%252E%252E%252F’即为二次URL编码过后的‘../’,通过这个就可以实穿越路径授权访问相关管理后台任意代码执行:利用上述授权访问CVE-2020-14882结合CVE-2020-14883利用方式(一):通过:com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationCo...
weblogic授权访问命令执行cve-2020-14882)
来到了学渣的博客
11-01 4634
最近的weblogic漏洞很火,直接上手一波。也踩了很多坑,比如用docker搭建环境的时候,用不回显payload的话,如何执行命令(所以用有回显的payload是最舒服的最直观的) 漏洞版本主要影响到 Oracle WebLogic Server 版本10.3.6.0,12.1.3.0,12.2.1.3,12.2.1.4,14.1.1.0。 版本12.2.1.3 先执行有的payload,可以直接授权面板 ip/console/images/%252E%252E%252Fconsole.p
fmw_12.2.1.4.0_wls_lite_Disk1_1of1.zip
08-14
fmw_12.2.1.4.0_wls_lite_Disk1_1of1.zip weblogic12c,官网下载太慢,有需要可取
fmw_12.2.1.4.0_wls_quick_Disk1_1of1.zip
01-30
包括:Java EE 7,Weblogic Server和Oracle Coherence(加快速度的缓存管理部件)。
CVE-2020-14882&14883weblogic授权命令执行漏洞
二狗的博客
03-29 685
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
CVE-2020-14882 Weblogic 命令执行
Adminxe的博客
10-30 2445
0x00 简介 经身份验证的远程攻击者可能通过构造特殊的 HTTP GET请求,利用该漏洞在受影响的 WebLogic Server 上执行任意代码。 0x01 漏洞详情 https://testbnull.medium.com/weblogic-rce-by-only-one-get-request-cve-2020-14882-analysis-6e4b09981dbf 0x02 影响版本 Oracle Weblogic Server 10.3.6.0.0 Oracle Weblogi..
CVE-2020-14882 weblogic 授权命令执行及分析
weixin_39811856的博客
10-30 943
简介 该漏洞通过HTTP协议进行利用,远程且授权的攻击者可以直接在服务端执行任意代码,获取系统权限。 环境搭建 windows server 2012 weblogic 12 通过宽字节安全的分析来看(调试源码): http://<target>/console/console.portal?_nfpb=true&_pageLabel=HomePage1&handle=java.lang.String("ahihi") ...
Weblogic 常见漏洞分析与利用
未完成的歌~的博客
03-23 8492
一直没有系统的总结过 weblogic漏洞,今天通过 vulhub 靶场来几个经典的案例。WebLogic 是美国 Oracle 公司出品的一个基于 JAVAEE 架构的中间件,是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的Java应用服务器。WebLogic 由纯 Java 开发,长期以来一直被认为是市场上最好的J2EE工具之一,被广泛应用于开发、部署和运行 Java 应用等适用于本地环境和云环境的企业应用。
CentOS7.7搭建weblogic12c-集群环境部署(一)
weixin_73799426的博客
09-20 1856
不愿转载-----因为每一次的动手都是一次进步。 坚持原创-----因为热爱。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值