CVE-2020-14645：Weblogic远程代码执行漏洞分析

一. 说明

本文将针对Weblogic CVE-2020-14645漏洞进行分析和复现，仅从技术角度进行研究与讨论，严禁用于非法用途，违者后果自负。

二、漏洞描述

WebLogic是美国Oracle公司出品的一个application server，是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

Weblogic CVE-2020-14645为远程代码执行漏洞，该漏洞通过T3协议进行利用，实现远程代码执行，进而控制服务器。

漏洞影响范围：

Weblogic 12.2.1.4.x

JDK：6u211以下；7u201以下；8u191以下

三、环境搭建

实验环境：WIN7(64位家庭版)+JDK(1.8.0_181)+Weblogic 12.2.1.4

1.下载安装

首先在官网下载Weblogic 12.2.1.4版本

https://www.oracle.com/middleware/technologies/weblogic-server-installers-downloads.html

使用以下命令：

提权安装文件进行安装，安装直接下一步到完成即可。

2.配置

安装完成后需进行配置（若未勾选自动启动配置向导，可在wlserver\common\bin目录下找config启动配置），设置管理员账号（此账号为登录7001控制台的账号）。

3.测试是否安装成功

配置成功后，在Middleware\Oracle_Home\user_projects\domains\base_domain目录下运行startWebLogic.cmd

访问 http://服务器IP:7001/console 出现如下界面即表示安装完成

因为利用的是Weblogic的T3协议，在利用前可使用NMAP进行探测确认是否开放T3(默认开放)。可使用NMAP探测T3协议使用情况。