Update Weblogic远程代码执行(CVE-2024-20931).md

2024-03-06 13:45:59 +08:00 · 2024-03-06 13:45:59 +08:00 · cdc0a500b7
commit cdc0a500b7
parent 945061a4f2
1 changed files with 12 additions and 0 deletions
--- a/Weblogic远程代码执行(CVE-2024-20931).md
+++ b/Weblogic远程代码执行(CVE-2024-20931).md
@ -1,5 +1,17 @@
 ## Weblogic远程代码执行(CVE-2024-20931)

+Oracle WebLogic Server是一个用于构建、部署和管理企业级Java应用程序。AQjmsInitialContextFactory 是一个允许应用程序使用JNDI查找方式访问Oracle AQ提供消息服务的工厂类。ForeignOpaqueReference是一个对象，lookup时会调用getReferent函数，进行远程对象查询。 该漏洞是 CVE-2023-21839 漏洞绕过，在AQjmsInitialContextFactory初始化时会通过 JNDI获取远程的 DataSource，当通过反射修改 ForeignOpaqueReference 的 jndiEnvironment 和 remoteJNDIName 属性后，再次远程查询ForeignOpaqueReference对象会导致 JNDI 注入，从而直接接管 Oracle WebLogic Server 来执行未经授权的操作或访问系统敏感信息。
+
+## fofa
+```
+(body="Welcome to WebLogic Server") || (title=="Error 404--Not Found") || (((body="
+BEA WebLogic Server" || server="Weblogic" || body="content=\"WebLogic Server" || body="
+Welcome to Weblogic Application" || body="
+BEA WebLogic Server") && header!="couchdb" && header!="boa" && header!="RouterOS" && header!="X-Generator: Drupal") || (banner="Weblogic" && banner!="couchdb" && banner!="drupal" && banner!=" Apache,Tomcat,Jboss" && banner!="ReeCam IP Camera" && banner!="
+Blog Comments
+")) || (port="7001" && protocol=="weblogic")
+```
+
 ## poc
 ```
 package com.supeream;