Oracle Fusion Middleware的Oracle WebLogic Server产品存在漏洞(组件:Core)。受影响的支持版本为12.2.1.4.0和14.1.1.0.0。容易利用的漏洞允许未经身份验证的攻击者通过T3, IIOP进行网络访问,从而危害Oracle WebLogic服务器。该漏洞的成功攻击可能导致对关键数据的未授权访问或对所有Oracle WebLogic Server可访问数据的完全访问。
第一条路,寻找别的实现OpaqueReference接口的类的getReferent寻求突破(比较有意思的是ForeignOpaqueReference在两个package链接下都有,且代码有一些细微的差别)。
这条路有一定的可行性,但是要分析的类太多了,所以我没有做太深入的分享。
第二条路,尝试绕过补丁中的JNDIUtils.isValidJndiScheme函数
最终未能成功。
第三条路,就是如果在java.naming.provider.url为空的情况下,做一下危险操作
因为别的env还是可以控制的,所以或许能在指定java.naming.factory.initial进行初始化的时候,创造可能性,非常幸运的是,WLS提供了不少的InitialContextFactory,而恰恰就有一个AQjmsInitialContextFactory在初始化的时候,需要通过JNDI去获取远程的DataSource
通过AQjmsInitialContextFactory初始化发起的JNDI注入,就成功达成一种二次JNDI注入,实现了远程的RCE。
参考地址:
https://glassyamadeus.github.io/2024/01/31/CVE_2024_20931/(分析文章)
https://github.com/GlassyAmadeus/CVE-2024-20931(POC地址)
原文始发于微信公众号(TtTeam):CVE-2024-20931 基于Weblogic T3\IIOP协议的Oracle RCE vuln
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论