CVE-2020-14882挖掘思路学习笔记

前言

​ 学习CVE-2020-14882挖掘思路,看了CVE-2020-14883,挖掘思路配合灰盒在页面点击扩展按钮之类操作会带有handle参数,该参数明显会加载某个类.主要还是找危险类利用,不细跟了

image-20201101194804900

CVE-2020-14882

payload

http://localhost:30443/console/images/%252e%252e%2fconsole.portal?_nfpb=true&_pageLabel=HomePage1

漏洞挖掘思路

  1. 找身份认证处理的逻辑

    权限认证关键参数unrestricted

    image-20201101174718956

    image-20201101175017473

  2. 绕过的关键处,静态资源不做权限认证,

    1. “/image/“匹配静态资源,更改unrestricted=true,绕过身份认证
    2. 匹配路由中的”console.portal” 进入管理界面servlet,映射路由见web.xml

image-20201101175802839

总结

匹配servlet之前做了权限认证,而静态资源不在权限限制范围内,可以直接bypass。分析中抓住权限控制返回的类比较关键的参数.

灰盒测试思路:

​ 1.访问静态资源:http://localhost:30443/console/css/changemgmt.portal 不需要权限认证,匹配/css/

​ 2. 管理界面为console.portal相同后缀,且被web.xml映射,使用二次url编码+静态资源目录绕过测试.

参考链接

https://testbnull.medium.com/weblogic-rce-by-only-one-get-request-cve-2020-14882-analysis-6e4b09981dbf

https://mp.weixin.qq.com/s?__biz=MzUzNTEyMTE0Mw==&mid=2247484235&idx=1&sn=3b4561f398f86af88ca717e051318e9f&chksm=fa8b1ed3cdfc97c57f6c9a53fdb7f807470306d96718781e47098fa771f40a33a2d1b8aa3099&scene=21#wechat_redirect

https://mp.weixin.qq.com/s?__biz=MzI3NzE0OTg5Mg==&mid=2247483703&idx=1&sn=698149c18a2b8aa82658d8878667cdc3