CVE-2019-2890 Weblogic t3反序列化漏洞分析

最新推荐文章于 2024-10-16 13:15:00 发布
最新推荐文章于 2024-10-16 13:15:00 发布
阅读量1.1k 收藏
点赞数
文章标签: cve 信息安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Adminxe/article/details/105926968
版权

@Adminxe

0x01 漏洞背景

在WebLogic官方发布的10月份安全补丁中,包含了由Venustech ADLab提交的CVE-2019-2890的修复。该漏洞通过T3协议发送恶意的反序列化数据绕过了Weblogic的黑名单,成功反序列化执行任意命令。通过官方公告可知,该漏洞的利用条件是需要认证。

0x02 影响范围

  • Weblogic 10.3.6.0.0
  • Weblogic 12.1.3.0.0
  • Weblogic 12.2.1.3.0

0x03 漏洞分析

下面以10.3.6.0作为分析版本。问题出现在PersistentContext类上,通过查看继承关系我们知道PersistentContext类实现了序列化接口Serializable

PersistentContext类继承关系

我们来看看它的readObject方法,将ObjectInputStream类对象var1传入readSubject方法。

readObject方法

跟进readSubject方法发现,会先从var1中读取反序列化数据当中的对象数据。然后调用EncryptionUtil.decrypt方法进行解密,最后解密后的数据被用于反序列化为对象。

readSubject方法

至此我们知道PersistenContext序列化数据中还携带了其他对象反序列化后的加密数据。如果我们在序列化PersistentContext时,将恶意对象反序列化数据先加密,然后writeObject,就可以让其携带恶意对象,绕过Weblogic黑名单进行反序列化了。

0x04 漏洞利用

根据以上思路,我们编写一个携带恶意对象的PersistenContext类。只需修改下原来代码中的writeSubject方法为如下,其中Poc.getObject()就是我们的恶意对象。

修改writeSubject方法代码

在进行序列化之前我们要处理四个问题。第一个问题是创建PersistenContext对象报错。

创建PersistenContext对象报错信息

这是因为PersistenContext初始化时调用了SecurityServiceManager.isKernelIdentity()进行内核身份判断。isKernelIdentity方法无论如何都会抛出一个NotSupportedException异常,导致我们序列化被终止。

SecurityServiceManager.isKernelIdentity()方法

我们可以将其注释掉

PersistenContext构造方法要修改的代码

第二个问题是反序列化PersistenContext类会出现卡死现象。这是因为PersistenContext等相关的类都会有一个AuthenticatedSubject静态对象要初始化。

静态AuthenticatedSubject内核id对象

初始化时会进入到如下代码。

导致卡死的代码段

我们需要ceClient变量为true,否则会一直进循环执行ceSubjectManagerLock.wait()进行等待,无法序列化!而ceClient是从系统属性com.bea.core.internal.client获取的,所以在序列化之前需要将该属性设置为true

ceClient变量的赋值

第三个问题是恶意对象没有被加密。这是因为在调用EncryptionUtil.encrypt方法加密时,会根据Kernel.isServer()true时才会进行加密,否则返回原数据。
因此加密之前需要调用KernelStatus.setIsServer(true)设置状态为true

加密时的判断

第四个问题,加密时需要SerializedSystemIni.dat文件。 我们需要目标服务器weblogic当前使用域下该文件放到我们poc的根目录。这也是官方将这个漏洞划分为需要认证的原因。

加密时需要SerializedSystemIni.dat文件

解决完这四个问题,就可以将PersistenContext对象反序列化为文件了。最后通过t3协议发送反序列化数据给Weblogic,即可执行任意命令。

序列化PersistenContext对象为文件

漏洞利用演示

0x05 补丁分析

通过对比,发现最新补丁在反序列化时,使用WSFilteringObjectInputStream对要反序列化的对象进行过滤。

补丁修复处

WSFilteringObjectInputStream实现了Weblogic下的过滤接口 FilteringObjectInputStream。在其resolveClass方法中,检查要反序列化的类是不是Subject的子类,不是则会抛出一个非法类异常,反序列化终止!

补丁修复的方式

0x06 分析总结

这个漏洞需要满足以下两个条件,才能触发成功,较为鸡肋。

  1. Weblogic开启t3协议
  2. 可以获取到SerializedSystemIni.dat文件

但是在实际环境中,如果部署在weblogic的站点存在任意文件下载或者任意文件读取,那么配合上该漏洞即可执行任意命令。

0x07 参考文章

 

转载请注明:Adminxe's Blog » CVE-2019-2890 Weblogic t3反序列化漏洞分析

Adminxe
关注
CVE-2023-21839:Weblogic反序列化漏洞复现
薛定谔嘚喵博客
04-16 4384
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
cve-2021-2394 weblogic反序列化漏洞分析
Jinmindong
03-29 353
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
CVE-2019-2890
03-08
声明 仅用于学习交流使用,其他用途后果自负。 说明 已经将相关jar文件都导入到了项目中,并且利用方式采用yso的JRMP,学习调试时候可以修改利用方式。 首先需要将weblogic下的SerializedSystemIni.dat文件放置到安全文件夹下。 然后需要将yso重命名为ysoserial.jar ,并导入到lib目录下。 进入weblogic / wsee / jaxws / persistence / PersistentContext.java中的getObject的IP地址和端口。 try { var3.writeObject(Poc.getObject("127.0.0.1:8000")); } catch (Exception e) { e.printStackTrace();
WebLogic 反序列化漏洞(CVE-2019-2890)
午夜安全
10-20 3335
WebLogic 反序列化漏洞(CVE-2019-2890) 漏洞描述 2019年10月15日,Oracle官方发布了2019年10月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞漏洞编号为CVE-2019-2890Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic反序列化黑名单,使攻击者可以...
CVE-2015-4852 Weblogic T3 反序列化分析
最新发布
Palpitate_LL的博客
10-16 935
else echo ****载入12c安装脚本**** && cp /scripts/weblogic_install12c.sh /scripts/weblogic_install.sh && cp /scripts/create_domain12c.sh /scripts/create_domain.sh;后面第 n 部分的数据,其实是不限制的,也就是说,我可以只有一部分的 Java 序列化数据,也可以有七部分的 Java 序列化数据,这并不重要,我们可以看观察一下 Wireshark 抓的包。
Weblogic T3协议反序列化漏洞
来日可期的博客
12-09 2052
T3协议用于在Weblogic服务器和其他类型的Java程序之间传输信息的协议。Weblogic会跟踪连接到应用程序的每个Java虚拟机,要将流量传输到Java虚拟机,Weblogic会创建一个T3连接。该链接会通过消除在网络之间的多个协议来最大化效率,从而使用较少的操作系统资源。用于T3连接的协议还可以最大限度减少数据包大小,提高传输速度。
php反序列化cve漏洞复现,CVE-2019-2890 Weblogic t3反序列化漏洞分析
weixin_36046574的博客
04-08 365
@Adminxe0x01 漏洞背景在WebLogic官方发布的10月份安全补丁中,包含了由Venustech ADLab提交的CVE-2019-2890的修复。该漏洞通过T3协议发送恶意的反序列化数据绕过了Weblogic的黑名单,成功反序列化执行任意命令。通过官方公告可知,该漏洞的利用条件是需要认证。0x02 影响范围Weblogic 10.3.6.0.0Weblogic 12.1.3.0.0W...
WebLogic 反序列化漏洞(CVE-2019-2890)复现(超详细)
热门推荐
内心不种满鲜花就会长满杂草
03-16 1万+
目录 一. 漏洞介绍 二. 影响范围 三. 漏洞环境搭建 四. 漏洞复现 五. 漏洞修复 六. 漏洞检测poc 很多漏洞复现文章都不够详细,就是你按照他写的去复现会出很多很多的问题。我综合了几篇文章,写下这最详细的复现步骤。希望能帮助大家少走弯路 一. 漏洞介绍 2019年10月15日,Oracle官方发布了2019年10月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞漏洞编号为CVE-2019-2890。 Weblogi...
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .txt
06-27
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .网上几乎没有,请珍惜。
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"是针对这一特定漏洞的检测与防护解决方案。 首先,我们来理解什么是Java反序列化漏洞。在Java中,序列化是将对象的状态转化为...
WebLogic UniversalExtractor反序列化漏洞(CVE-2020-14645)的复现和分析
smellycat000的专栏
11-23 663
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析漏洞复现。1.2 简介WebLogic 是美国 Oracle 公司的 Java 应用服务器,确切说是一个中间件,被...
【网络安全---漏洞复现】WebLogic 反序列化漏洞(CVE-2019-2890)漏洞复现
m0_67844671的博客
09-19 1779
Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic反序列化黑名单,使攻击者可以通过T3协议对存在漏洞Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。
漏洞复现】1. WebLogic 反序列化漏洞(CVE-2019-2890)复现与分析
Zichel77的博客
03-21 1824
2019年10月15日,Oracle官方发布了2019年10月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞漏洞编号为CVE-2019-2890Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic反序列化黑名单,使攻击者可以通过T3协议对存在漏洞Weblogic组件实施远程攻击。
oracle 序列_【漏洞预警】WebLogic反序列化CVE-2019-2890漏洞预警
weixin_39753584的博客
12-02 238
2019年10月,白帽汇安全研究院监测到互联网上爆出了Weblogic反序列化远程命令执行漏洞WebLogic是美国Oracle公司出品的Java应用服务器,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。攻击者可利用该漏洞在未经授权的攻击者可通过构造T3协议请求,绕过Weblogic反序列化黑名单,从而获取Weblogic服务器权限,风险较大。希望相关...
entity framework 调用 oracle 序列_Weblogic T3 反序列化漏洞CVE20192890分析
weixin_35690047的博客
12-14 225
No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。No.2起因本文仅记录一下自己调试2890的一些过程,...
WebLogic 反序列化漏洞(CVE-2019-2890)复现
m0_65150886的博客
10-18 226
2019年10月15日,Oracle官方发布了2019年10月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞漏洞编号为CVE-2019-2890Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic反序列化黑名单,使攻击者可以通过T3协议对存在漏洞Weblogic组件实施远程攻击。
探索CVE-2019-2890:Oracle WebLogic Server的安全漏洞与修复方案
gitblog_00011的博客
04-03 429
探索CVE-2019-2890:Oracle WebLogic Server的安全漏洞与修复方案 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个开源项目,专注于研究和解决Oracle WebLogic Server中的一项严重安全漏洞。该漏洞被命名为"CVE-2019-2890",允许远程攻击者通过特制的JSP文件执行任意代码,对系统的安全性...
entity framework 调用 oracle 序列_漏洞预警|Oracle WebLogic 反序列化严重漏洞CVE20192890)...
weixin_42517569的博客
12-06 173
漏洞背景HSCERT监测发现WebLogic官方发布了CVE-2019-2890漏洞预警。此漏洞存在于Weblogic Console组件中,未经授权的攻击者可以发送精心构造的恶意 HTTP 请求,获取服务器权限。WebLogic 是 Oracle 公司出品的基于 JavaEE 架构的中间件,用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。漏洞描述Weblogi...
漏洞预警】WebLogic反序列化CVE-2019-2890漏洞预警
NOSEC2019的博客
10-23 1471
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7GLiipQV-1571830854090)(https://nosec.org/avatar/uploads/attach/image/9a653247b09929f066d39c404c81c702/00.png)] 2019年10月,白帽汇安全研究院监测到互联网上爆出了Weblogic反序列化远程命令执行漏洞,W...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Adminxe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值