weblogic未授权命令执行反弹shell

---

0x01:漏洞详情

No.1: CVE-2020-14883: 权限绕过漏洞

远程攻击者可以构造特殊的HTTP请求，在未经身份验证的情况下接管 WebLogic Server Console。

No.2: CVE-2020-14882: 代码执行漏洞

结合 CVE-2020-14883 漏洞，远程攻击者可以构造特殊的HTTP请求，在未经身份验证的情况下接管 WebLogic Server Console ，并在 WebLogic Server Console 执行任意代码。

---

---

0x02:复现环境：

---

linux :2.6.32

java version “1.6.0_45”
Java(TM) SE Runtime Environment (build 1.6.0_45-b06)
Java HotSpot(TM) 64-Bit Server VM (build 20.45-b01, mixed mode)

weblogic 10.3.6

---

0x03:Expolit

成功反弹shell并提权

1.C2服务器开启web服务，搭建构造好的poc.xml，用于反弹shell或者行命令

2.利用漏洞加载Spring的 ClassPathXmlApplicationContext类访问我们的远程poc.xml

ClassPathXmlApplicationContext的使用：https://blog.csdn.net/u012397322/article/details/87545950

3.本地监听poc.xml的反弹地址，成功获取shell，由于linux内核版本存在脏牛漏洞，顺手提了个root～

参考链接：

漏洞poc详情参考: https://github.com/jas502n/CVE-2020-14882
ClassPathXmlApplicationContext类的使用：
https://blog.csdn.net/u012397322/article/details/87545950
从FileSystemXmlApplicationContext窥探spring源码一角:
https://blog.csdn.net/p13132312312/article/details/103919444