01

漏洞描述

WebLogic存在远程代码执行漏洞,该漏洞允许未经身份验证的远程,通过T3/IIOP协议网络访问并破坏WebLogic服务器,成功利用此漏洞可导致Oracle WebLogic服务器被接管。

通过rmi/ldap远程协议进行远程命令执行。从而拿shell

02

影响版本

 

Oracle WebLogic Server 12.2.1.3.0

 

Oracle WebLogic Server 12.2.1.4.0

 

Oracle WebLogic Server 14.1.1.0.0

 

03

漏洞利用

Weblogic CVE-2023-21839 RCE

(1)无需任何 Java 依赖,构造协议通过socket直接RCE

(2)已解决 IIOP 的 NAT 网络问题(可测试 Docker 与公网目标)

(3)在 Windows/Mac OS/Linux 以及 Weblogic 12/14 中测试通过

(4)请使用 JDK 8u191 以下启动 Weblogic 并自行搭建 JNDI Server

04

漏洞复现

如果发现 panic 或有其他报错,说明目标不存在漏洞(或关闭了 IIOP 功能)

https://github.com/Jeromeyoung/JNDIExploit-1

本地测试:

某师傅公网测试:



下载地址