Oracle WebLogic 反序列化漏洞分析：从 CVE-2023-21839 到 CVE-2024-20931<\/h1>

漏洞背景<\/h2>
本文分析 Oracle WebLogic Server 中一系列 JNDI 注入和反序列化漏洞，从 CVE-2023-21839 到 CVE-2024-20931，重点探讨漏洞利用链的演变和防御绕过技术。<\/p>

CVE-2023-21839 分析<\/h2>

漏洞概述<\/h3>

影响版本：Oracle WebLogic Server 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0<\/li>
CVSS 评分：7.5<\/li>

漏洞类型：JNDI 注入导致的远程代码执行<\/li> <\/ul>

漏洞细节<\/h3>
漏洞位于 `weblogic.jndi.internal.WLInitialContextFactory<\/code> 中，攻击者可以通过构造恶意的 JNDI 上下文，利用 oracle.jms.AQjmsInitialContextFactory<\/code> 进行 JNDI 注入攻击。<\/p>`

利用链<\/h3>

攻击者构造恶意 InitialContext，指定 Context.INITIAL_CONTEXT_FACTORY<\/code> 为 oracle.jms.AQjmsInitialContextFactory<\/code><\/li>
通过 Context.PROVIDER_URL<\/code> 指定恶意 LDAP\/RMI 服务器<\/li>
WebLogic 在处理时会触发 JNDI 查找，导致远程代码执行<\/li>
<\/ol>
补丁分析<\/h3>
Oracle 通过限制可用的 InitialContextFactory 类来修复此漏洞，黑名单了 oracle.jms.AQjmsInitialContextFactory<\/code> 等危险工厂类。<\/p>
CVE-2024-20931 分析<\/h2>
漏洞概述<\/h3>

影响版本：Oracle WebLogic Server 12.2.1.4.0, 14.1.1.0.0<\/li>
CVSS 评分：8.3<\/li>
漏洞类型：JNDI 注入绕过导致的远程代码执行<\/li>
<\/ul>
绕过技术<\/h3>
在 CVE-2023-21839 补丁后，攻击者发现可以通过以下方式绕过：<\/p>

使用 weblogic.jndi.internal.WLInitialContextFactory<\/code> 作为工厂类<\/li>
通过 weblogic.jndi.environment<\/code> 属性设置 java.naming.factory.initial<\/code> 为 oracle.jms.AQjmsInitialContextFactory<\/code><\/li>
利用 WebLogic 内部处理逻辑，最终仍会触发 JNDI 注入<\/li>
<\/ol>
关键代码分析<\/h3>
\/\/ 绕过点：WLInitialContextFactory 内部处理
<\/span><\/span><\/span><\/span>if<\/span> (<\/span>environment !=<\/span> null<\/span>)<\/span> {<\/span>
<\/span><\/span>    String factory =<\/span> (<\/span>String)<\/span>environment.<\/span>get<\/span>(<\/span>"java.naming.factory.initial"<\/span>);<\/span>
<\/span><\/span>    if<\/span> (<\/span>factory !=<\/span> null<\/span>)<\/span> {<\/span>
<\/span><\/span>        \/\/ 这里仍然会使用环境变量中指定的工厂类
<\/span><\/span><\/span><\/span>        initialContextFactory =<\/span> factory;<\/span>
<\/span><\/span>    }<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>CVE-2024-21006 分析<\/h2>
漏洞概述<\/h3>

影响版本：Oracle WebLogic Server 12.2.1.4.0, 14.1.1.0.0<\/li>
漏洞类型：远程绑定导致的潜在代码执行<\/li>
<\/ul>
利用思路<\/h3>

通过远程绑定操作到达特定方法<\/li>
虽然不能直接到达危险函数，但可能通过二次利用触发漏洞<\/li>
<\/ol>
关键限制<\/h3>

无法直接控制危险函数的参数<\/li>
需要结合其他漏洞或环境条件才能实现完整利用<\/li>
<\/ul>
技术细节补充<\/h2>
oracle.jms.AQjmsInitialContextFactory 位置<\/h3>

该类通常位于 aqapi.jar<\/code> 中<\/li>
在 WebLogic 安装目录中可能位于：$ORACLE_HOME\/wlserver\/server\/lib\/aqapi.jar<\/code><\/li>
如果找不到，可以尝试以下方法：

使用 find<\/code> 命令搜索整个 WebLogic 目录<\/li>
检查 $ORACLE_HOME\/oracle_common\/modules\/oracle.jms_12.x.x<\/code> 目录<\/li>
使用 jar -tf<\/code> 命令检查各个 jar 包内容<\/li>
<\/ol>
<\/li>
<\/ul>
漏洞利用关键点<\/h3>

InitialContextFactory 控制<\/strong>：必须能够控制 JNDI 查找使用的工厂类<\/li>
环境变量注入<\/strong>：通过 weblogic.jndi.environment<\/code> 注入额外属性<\/li>
类加载机制<\/strong>：WebLogic 的类加载顺序影响漏洞利用成功率<\/li>
<\/ol>
防御建议<\/h2>

及时应用 Oracle 发布的最新安全补丁<\/li>
限制 WebLogic 服务器的网络访问，特别是出向连接<\/li>
监控 JNDI 查找操作，特别是使用非常规工厂类的情况<\/li>
考虑使用 Java 安全策略限制危险操作<\/li>
<\/ol>
总结<\/h2>
这一系列漏洞展示了 JNDI 注入攻击在 WebLogic 中的演变过程，从直接利用危险工厂类到通过环境变量间接控制，再到尝试通过远程绑定触发漏洞。理解这些漏洞的利用链对于防御类似攻击具有重要意义。<\/p>

Oracle WebLogic 反序列化漏洞分析：从 CVE-2023-21839 到 CVE-2024-20931<\/h1>

漏洞背景<\/h2> 本文分析 Oracle WebLogic Server 中一系列 JNDI 注入和反序列化漏洞，从 CVE-2023-21839 到 CVE-2024-20931，重点探讨漏洞利用链的演变和防御绕过技术。<\/p>

CVE-2023-21839 分析<\/h2>

漏洞细节<\/h3> 漏洞位于 weblogic.jndi.internal.WLInitialContextFactory<\/code> 中，攻击者可以通过构造恶意的 JNDI 上下文，利用 oracle.jms.AQjmsInitialContextFactory<\/code> 进行 JNDI 注入攻击。<\/p>

补丁分析<\/h3> Oracle 通过限制可用的 InitialContextFactory 类来修复此漏洞，黑名单了 oracle.jms.AQjmsInitialContextFactory<\/code> 等危险工厂类。<\/p>

CVE-2024-21006 分析<\/h2>

技术细节补充<\/h2>

总结<\/h2> 这一系列漏洞展示了 JNDI 注入攻击在 WebLogic 中的演变过程，从直接利用危险工厂类到通过环境变量间接控制，再到尝试通过远程绑定触发漏洞。理解这些漏洞的利用链对于防御类似攻击具有重要意义。<\/p>

漏洞背景<\/h2>
本文分析 Oracle WebLogic Server 中一系列 JNDI 注入和反序列化漏洞，从 CVE-2023-21839 到 CVE-2024-20931，重点探讨漏洞利用链的演变和防御绕过技术。<\/p>

漏洞细节<\/h3>
漏洞位于 `weblogic.jndi.internal.WLInitialContextFactory<\/code> 中，攻击者可以通过构造恶意的 JNDI 上下文，利用 oracle.jms.AQjmsInitialContextFactory<\/code> 进行 JNDI 注入攻击。<\/p>`

补丁分析<\/h3>
Oracle 通过限制可用的 InitialContextFactory 类来修复此漏洞，黑名单了 `oracle.jms.AQjmsInitialContextFactory<\/code> 等危险工厂类。<\/p>`

总结<\/h2>
这一系列漏洞展示了 JNDI 注入攻击在 WebLogic 中的演变过程，从直接利用危险工厂类到通过环境变量间接控制，再到尝试通过远程绑定触发漏洞。理解这些漏洞的利用链对于防御类似攻击具有重要意义。<\/p>