Weblogic CVE-2023-21931 漏洞挖掘技巧:后反序列化利用

最新推荐文章于 2024-08-01 14:12:07 发布
最新推荐文章于 2024-08-01 14:12:07 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: Goby weblogic 漏洞 文章标签: 安全 web安全 网络 oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46699477/article/details/130234643
版权
Goby 同时被 3 个专栏收录
190 篇文章 31 订阅
订阅专栏
漏洞
139 篇文章 3 订阅
订阅专栏
weblogic
5 篇文章 0 订阅
订阅专栏

在这里插入图片描述

0x01 概述

近些年,Weblogic 反序列化漏洞一直围绕着反序列化的触发点进行漏洞挖掘,事实上还有很多存在反序列化但无法实时利用的点,在大家平时的漏洞挖掘中容易忽略。在行业内也有一些关于”后反序列化“的进一步讨论,这些看似无法利用的漏洞,其实可以通过一些后续的技巧完成稳定的利用效果。例如,进行 bind()rebind() 操作后,并没有触发漏洞,此时可以尝试其他方法如 lookup()lookupLink() 等触发漏洞。

通过这种思路我们发现了两个 Weblogic 的后反序列化漏洞(CVE-2023-21931、CVE-2023-21839),获得了 Oracle 的官方确认。本文以这两个 Weblogic 漏洞为例,分享"后反序列化漏洞"的利用思路。我们相信还有很多这类的漏洞在未来会逐渐被挖掘出来,希望本篇文章能够给大家一些启发。

0x02 后序列化漏洞

在这里插入图片描述
Weblogic 反序列化漏洞挖掘思路是利用 readObject()readResolve()readExternal() 等反序列化方法对恶意序列化数据进行操作,以达到攻击目的。常规的漏洞思路重点关注 Weblogic 在反序列化过程中进行恶意攻击,而忽略了反序列化完成后的操作。后反序列化漏洞挖掘的思路重点关注 Weblogic 完成反序列化过程后,在达到某个时机或执行操作后触发的漏洞攻击。

在 Weblogic 中,如果进行bind()rebind()操作后,并没有触发漏洞,此时可以尝试其他方法如lookup()lookupLink()等触发漏洞。

本文将以 lookup() 方法作为漏洞触发点,对 Weblogic 后反序列化漏洞的攻击过程进行分析和漏洞实例展示。

0x03 lookup

通过跟踪调用堆栈,我们发现 lookup() 的流程如下:

  • Weblogic 在接收到请求后,通过 BasicServerRef 类中的 invoke() 方法解析传入数据。
  • 通过 _invoke() 方法,Weblogic根据传入的方法名 resolve_any 执行的 resolve_any() 方法。
  • resolve_any() 方法中,通过 resolveObject() 方法对传入的绑定命名进行解析。
  • resolveObject() 方法中,根据上下文信息调用其中的 lookup() 方法。
  • 根据上下文中的信息,经过在 WLContextImplWLEventContextImplWLEventContextImplRootNamingNode ServerNamingNodeBasicNamingNode 类中一系列的lookup() 方法调用,实现 BasicNamingNode 类中的 resolveObject() 方法调用。
  • 由于传入 resolveObject() 方法中的obj不是 NamingNode 类的实例,且 mode 的值默认为1,所以会调用 WLNamingManager 类中的 getObjectInstance() 方法。

在这里插入图片描述
最终,可以看到 WLNamingManager 类的 getObjectInstance() 方法根据传入的对象接口类型,调用对象中的 getReferent() 方法,完成漏洞触发点的 lookup() 方法调用。实际上这两个CVE漏洞都是通过 getObjectInstance() 的两个分支触发的。

0x04 CVE-2023-21931

CVE-2023-21931 的漏洞触发点在 WLNamingManager 类的 getObjectInstance() 方法中,当传入的 boundObject 对象是 LinkRef 的实现类时,则调用传入对象 boundObject getLinkName() 方法,并通过 lookup() 方法对 getLinkName() 方法返回的 linkAddrType 地址进行远程JNDI加载。在实例化 LinkRef 类时,可以通过类中的构造方法给 linkAddrType 传入一个JNDI地址。这样,我们就可以调用 lookup() 方法对自定义的JNDI地址进行远程加载,达到攻击的目的。

package weblogic.jndi.internal;
public final class WLNamingManager {
    public static Object getObjectInstance(Object boundObject, Name name, Context ctx, Hashtable env) throws NamingException {
        if (boundObject instanceof ClassTypeOpaqueReference) {
						......
        } else if (boundObject instanceof LinkRef) {
            String linkName = ((LinkRef)boundObject).getLinkName();
            InitialContext ic = null;
            try {
                ic = new InitialContext(env);
                boundObject = ic.lookup(linkName);  // 漏洞触发点
            } catch (NamingException var15) {
              ......
            } finally {......}
        }
    }
}

漏洞 JNDI 地址构造在 LinkRef 这个类中,LinkRef 是Java的一个原生类。通过 LinkRef 类中的构造方法,我们可以控制变量 linkAddrType 的值, 再通过 getLinkName() 方法将 linkAddrType 作为字符串返回。

package javax.naming;
public class LinkRef extends Reference {
    static final String linkClassName = LinkRef.class.getName();
    static final String linkAddrType = "LinkAddress";

    public LinkRef(Name linkName) {
        super(linkClassName, new StringRefAddr(linkAddrType, linkName.toString()));
    }

    public LinkRef(String linkName) {
        super(linkClassName, new StringRefAddr(linkAddrType, linkName));
    }

    public String getLinkName() throws NamingException {
        if (className != null && className.equals(linkClassName)) {
            RefAddr addr = get(linkAddrType);
            if (addr != null && addr instanceof StringRefAddr) {
                return (String)((StringRefAddr)addr).getContent();
            }
        }
        throw new MalformedLinkException();
    }
}

在这里插入图片描述

在上述过程中,rebind()lookup() 方法的反序列化过程并未执行恶意操作,而是在完成反序列化之后,通过调用类 WLNamingManagergetObjectInstance() 方法的 lookup() 才触发漏洞,进行远程恶意加载JNDI地址操作的。

我们在 GOBY 中已经集成了 CVE-2023-21931 漏洞,并加入了回显和反弹shell的功能。演示效果如下:
在这里插入图片描述

0x05 CVE-2023-21839

ForeignOpaqueReferenceOpaqueReference 接口的实现类。在 ForeignOpaqueReference 类中声明了两个私有变量: jndiEnvironmentremoteJNDIName ,同时声明了两个构造方法,在有参构造方法中接收 envremoteJNDIName ,并分别赋值给了上面的两个私有类变量。

ForeignOpaqueReference 类的 getReferent() 方法是 OpaqueReference 接口的实现方法,在 getReferent() 方法中, retVal = context.lookup(this.remoteJNDIName); 对本类 remoteJNDIName 变量中的JNDI地址进行远程加载,导致了反序列化漏洞。

package weblogic.jndi.internal;
public class ForeignOpaqueReference implements OpaqueReference, Serializable {
    private Hashtable jndiEnvironment;
    private String remoteJNDIName;
        ......
    public ForeignOpaqueReference(String remoteJNDIName, Hashtable env) {
        this.remoteJNDIName = remoteJNDIName;
        this.jndiEnvironment = env;
    }
    public Object getReferent(Name name, Context ctx) throws NamingException {
        InitialContext context;
        if (this.jndiEnvironment == null) {
            context = new InitialContext();
        } else {
            Hashtable properties = this.decrypt();
            context = new InitialContext(properties);
        }
        Object retVal;
        try {
            retVal = context.lookup(this.remoteJNDIName);   // 漏洞点
        } finally {
            context.close();
        }
        return retVal;
    }
    ......
}

getReferent() 调用分析

package weblogic.jndi;
public interface OpaqueReference {
    Object getReferent(Name var1, Context var2) throws NamingException;
    String toString();
}

OpaqueReference 接口有两个抽象方法:getReferent()toString();

ForeignOpaqueReference 类的 getReferent() 方法调用在 WLNamingManager 类中。

WLNamingManager 类的 getObjectInstance() 方法中,当传入的 boundObject 对象实现了 OpaqueReference 接口时,则会调用该对象的 getReferent() 方法,即 boundObject = ((OpaqueReference)boundObject).getReferent(name, ctx);

正如上方提到的 ForeignOpaqueReference 类实现了 OpaqueReference 接口,因此会调用该类中的 getReferent() 方法,导致反序列化代码执行漏洞。

package weblogic.jndi.internal;
public final class WLNamingManager {
	public static Object getObjectInstance(Object boundObject, Name name, Context ctx, Hashtable env) throws NamingException {
        if (boundObject instanceof ClassTypeOpaqueReference) {
						......
        } else if (boundObject instanceof OpaqueReference) {
            boundObject = ((OpaqueReference)boundObject).getReferent(name, ctx);
        } else if (boundObject instanceof LinkRef) {
      ...
        }
    }
}

在这里插入图片描述
与 CVE-2023-21931 漏洞原理相同,CVE-2023-21839 也是在反序列化过程中没有进行恶意操作,而是完成反序列化过程后执行了漏洞类 ForeignOpaqueReferencegetReferent() 方法中的 lookup() 才触发的漏洞。

在 GOBY 中,我们已经集成了 CVE-2023-21839 漏洞,并添加了回显以及反弹 Shell 的功能。以下是演示效果:
在这里插入图片描述

0x06 时间线

CVE-2023-21931

  • 2022年8月12日 漏洞提交官方
  • 2022年8月19日 漏洞官方确认
  • 2023年4月18日 漏洞官方修复

CVE-2023-21839

  • 2022年7月31日 漏洞提交官方
  • 2022年8月5日 漏洞官方确认
  • 2023年1月16日 漏洞官方修复

0x07 研究环境

Vulfocus weblogic 环境

docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.2.1.2.0-jdk-release
docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.2.1.1.0-jdk-release
docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.2.1.3.0-jdk-release
docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.2.1.4.0-jdk-release
docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.2.1.0.0-jdk-release
docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:14.1.1.0.0-jdk-release
docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.1.2.0.0-jdk-release
docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:12.1.3.0.0-jdk-release
docker pull vulfocus/vcpe-1.0-a-oracle-weblogic:10.3.6.0-jdk-release

0x08 参考

  1. Java“后反序列化漏洞”利用思路 - Ruilin (rui0.cn)
  2. Ruil1n/after-deserialization-attack: Java After-Deserialization Attack (github.com)

本文中演示的漏洞与功能适配 Goby 版本:Beta 2.4.7,已支持Goby红队版、漏扫版扫描验证。最新版本下载体验:https://gobysec.net/

Goby 欢迎表哥/表姐们加入我们的社区大家庭,一起交流技术、生活趣事、奇闻八卦,结交无数白帽好友。

也欢迎投稿到 Goby(Goby 介绍/扫描/口令爆破/漏洞利用/插件开发/ PoC 编写/ IP 库使用场景/ Webshell /漏洞分析 等文章均可),审核通过后可奖励 Goby 红队版,快来加入微信群体验吧~~~

  • 文章来自Goby社区成员:14m3ta7k@白帽汇安全研究院,转载请注明出处。
  • 微信群:公众号发暗号“加群”,参与积分商城、抽奖等众多有趣的活动
  • 获取版本:https://gobysec.net/sale
Gobysec
关注
专栏目录
CVE-2023-33246 Apache RocketMQ 命令注入漏洞复现及分析
牛叫兽的测试学习和分享
06-02 9361
CVE-2023-33246 漏洞复现及分析
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)以及安装步骤
11-23
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它允许攻击者通过发送恶意构造的序列化对象来执行任意代码,从而获得对服务器的完全控制。这个漏洞存在于WebLogic ...
WebLogic LinkRef 反序列化远程代码执行漏洞(CVE-2023-21931
murphysec的博客
04-28 2134
Oracle WebLogic Server 是一款Java EE应用服务器。 受影响版本的WebLogic中WLNamingManager#getObjectInstance()存在JNDI查找逻辑,导致攻击者可以通过IIOP协议传入特定的对象触发反序列化逻辑,执行任意代码。 当传入boundObject 对象是 LinkRef 的实现类时,会调用传入对象 boundObject 的 getLinkName() 方法,并使用 lookup() 方法对getLinkName() 方法返回的 linkA
WebLogicCVE-2023-21839[JNDI注入]
最新发布
h1008685的博客
08-01 480
WebLogicCVE-2023-21839[JNDI注入] 漏洞原理,环境部署,漏洞利用:生成指定payload,kali启动ldap服务器,windows向靶机发送poc,建立连接
Goby漏洞更新 | Weblogic LinkRef 反序列化远程代码执行漏洞(CVE-2023-21931
m0_46699477的博客
04-21 276
CVE-2023-21931 WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。WebLogic 存在远程代码执行漏洞,该漏洞允许未经身份验证的攻击者通过IIOP协议网络访问并破坏易受攻击的WebLogic Server,成功的漏洞利用可导致WebLogic Server被攻击者接管,从而造成远程代码执行。
CVE-2023-32233 (LINUX内核权限提升漏洞)
m0_65354386的博客
07-06 1495
Linux内核版本v5.14 — v6.6的netfilter 子系统nf_tables组件中存在释放后使用漏洞,由于在nft_verdict_init()函数中,允许正值作为hook判决中的丢弃错误,因此当NF_DROP发出类似于NF_ACCEPT的丢弃错误时,nf_hook_slow()函数可能会导致双重释放漏洞,从而本地低权攻击者可利用该漏洞将权限提升为root,对目标进行恶意攻击。目前该漏洞已经修复,受影响用户可通过升级系统或禁用受影响的 nf_tables 内核模块可以缓解此漏洞。
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)
09-14
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它涉及到组件T3协议处理中的对象反序列化过程。该漏洞允许攻击者通过构造恶意的T3请求,远程执行任意代码,从而...
weblogic10.36 CVE-2018-2893补丁文件
08-02
WebLogicCVE-2018-2893)安全漏洞预警,oracle官方发布了2018年4月份的关键补丁更新CPU(CriticalPatchUpdate),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),因该漏洞修补不善导致被绕过。...
weblogic 序列化漏洞 CVE-2017-10271 版本 12.1.3.0.0
01-23
weblogic 序列化漏洞 CVE-2017-10271 版本 12.1.3.0.0
CVE-2023-29489 cPanel XSS漏洞分析研究
蚁景网安学院
05-04 1728
前言由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。如果文章中的漏洞出现敏感内容产生了部分影响,请及时联系作者,望谅解。一、漏洞原理漏洞简述cPanel 是一套在网页寄存业中最享负盛名的商业软件,是基于于 Linux 和 BSD 系统及以 PHP 开发且性质为闭源软件;提供了足够强大和相当完整的主机管理功能,诸如:Webmail ...
CVE-2023-33246命令执行复现分析
蚁景网安学院
06-16 747
简介RocketMQ是一款低延迟、高并发、高可用、高可靠的分布式消息中间件。既可为分布式应用系统提供异步解耦和削峰填谷的能力,同时也具备互联网应用所需的海量消息堆积、高吞吐、可靠重试等特性。影响版本<=RocketMQ 5.1.0<=RocketMQ 4.9.5环境搭建dockerpullapache/rocketmq:4.9.4root@ubuntu:/home/ubuntu/D...
CVE-2023-32233 Linux kernel
sash1mi
05-16 1879
近日,研究人员发现了Linux内核的NetFilter框架中的新漏洞(CVE-2023-32233)。该漏洞可被本地用户用于将权限提升为root,并完全控制系统。问题的根源在于是如何处理批处理请求的,经过身份验证的本地攻击者可通过发送特制的请求破坏的内部状态,从而获得更高权限。该漏洞影响多个Linux内核版本,包括当前的稳定版本v6.3.1。漏洞原文。
CVE-2023-0215
qq_39933800的博客
06-14 2805
生产版本:5.5。
小米AX9000路由器CVE-2023-26315漏洞挖掘
jmm18363027827的博客
06-14 942
一年多前,看到小米SRC公众号推文搞了个赏金活动,于是挖了挖当时比较新的一款AX9000路由器,挖到了两个命令注入漏洞,不过没什么本事,挖的都是授权后的,危害一般。小米给的赏金还是很可观的,但是补丁发布的速度不知为何比较慢(交了这么多厂商,还是Zyxel和华硕的响应速度最快),所以一直也没能分配CVE编号,我也遵守小米的规定在漏洞披露前未公开相关漏洞细节。直到最近和其他朋友聊起这个漏洞,才想起来已经过去了一年多,应该是能公开了,于是又去找了小米SRC的运营小姐姐。
CVE-2023-34541 LangChain 任意命令执行
蚁景网安学院
06-27 1378
漏洞简介LangChain是一个用于开发由语言模型驱动的应用程序的框架。在LangChain受影响版本中,由于load_prompt函数加载提示文件时未对加载内容进行安全过滤,攻击者可通过构造包含恶意命令的提示文件,诱导用户加载该文件,即可造成任意系统命令执行。漏洞复现在项目下编写 test.pyfromlangchain.promptsimportload_prompt if__name...
CVE-2023-34541 LangChain 任意命令执行
YJ_12340的博客
06-27 1149
LangChain是一个用于开发由语言模型驱动的应用程序的框架。在LangChain受影响版本中,由于load_prompt函数加载提示文件时未对加载内容进行安全过滤,攻击者可通过构造包含恶意命令的提示文件,诱导用户加载该文件,即可造成任意系统命令执行。
[春秋云镜] CVE-2023-2130
m0_73649671的博客
04-22 821
在SourceCodester采购订单管理系统1.0中发现了一项被分类为关键的漏洞。受影响的是组件GET参数处理器的文件/admin/suppliers/view_details.php中的一个未知函数。对参数id的操纵导致了SQL注入。可以远程发起攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值