Weblogic安全漫谈(四)

于 2024-01-05 10:36:11 发布
阅读量1.2k 收藏 21
点赞数 19
文章标签: 安全 webgl 网络安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/moresec/article/details/135403193
版权

黑名单机制必然会推动两种研究方向的发展:一是挖掘不在黑名单的新组件,是为绕过规则;二是发掘检查的盲区,是为绕过逻辑。

CVE-2020-14756

二次反序列化具有对抗检查逻辑的天生丽质,在CVE-2018-2893中就有利用字节数组和反射重建类两种方式。找找还有没有readObjectClass.forName的路子:

图片

readUnsignedByte读到的nType为9或10时会进入readXmlSerializablereadExternalizableLite分支。

图片

上述两个方法均通过自身loadClass方法加载类,最终由Class.forName获取类并返回。

图片

图片

  • readXmlSerializable方法获取类后继续进行XML解析,是另一个XXE漏洞。

readExternalizableLite方法获取类后继续调用readExternal反序列化,不受黑名单限制,进而引出两个问题:

  1. ExternalizableHelper自身没有实现Serializable接口,一定有什么地方调用它的readObject

  2. loadClass加载后强转为了ExternalizableLite类型,它哪些满足readExternal参数要求的子类可以被用作sink

图片

找到PermissionInfo#readExternal会调用ExternalizableHelper#readCollection进而调用readObject作为链首。

图片

继续找到TopNAggregator$PartialResult及其父类SortedBag

图片

readExternal方法会调用父类的instantiateInternalMap方法将comparator封装进TreeMap,随后在add方法中调用map.put时就会触发compare,进而连上以前的链尾。与PriorityQueue的作用相同,只是绕这么一圈过掉了黑名单。

图片

重写PermissionInfo#writeExternal按照以前的套路一步步构造payload打出去就行。

图片

extract:95, MvelExtractor (com.tangosol.coherence.rest.util.extractor)

extract:112, ReflectionExtractor (com.tangosol.util.extractor)
extract:105, ChainedExtractor (com.tangosol.util.extractor)

// extract:96, MultiExtractor (com.tangosol.util.extractor)

compare:143, AbstractExtractor (com.tangosol.util.extractor)
compare:416, SortedBag$WrapperComparator (com.tangosol.util)
compare:1295, TreeMap (java.util)
put:538, TreeMap (java.util)
add:152, SortedBag (com.tangosol.util)
add:270, TopNAggregator$PartialResult (com.tangosol.util.aggregator)
readExternal:299, TopNAggregator$PartialResult (com.tangosol.util.aggregator)
readExternalizableLite:2345, ExternalizableHelper (com.tangosol.util)
readObjectInternal:2661, ExternalizableHelper (com.tangosol.util)
readObject:2606, ExternalizableHelper (com.tangosol.util)
readCollection:2131, ExternalizableHelper (com.tangosol.util)
readExternal:190, PermissionInfo (com.tangosol.net.security)
readExternalData:2118, ObjectInputStream (java.io)
readOrdinaryObject:2067, ObjectInputStream (java.io)
readObject0:1573, ObjectInputStream (java.io)

 漏洞作者用了AttributeHolder作为链首,主要是writeExternal的逻辑友好,不用重写构造起来更加方便。

图片

CVE-2020-14644

按照同样的思路找ClassLoader.defineClass的路子:

图片

com.tangosol.internal.util.invoke.RemoteConstructor#readResolve会触发newInstance并调用com.tangosol.internal.util.invoke.RemotableSupport#realize

图片

随后会经过多个方法处理后最终进入ClassLoader.defineClass,可以看到关键是最开始传入RemoteConstructor构造方法的ClassDefinition对象。

图片

对于字节码相关的处理函数就是获取构造方法,之后会被用于创建实例化对象,真正的关键变为了ClassDefinition构造方法的ClassIdentity对象。

图片

图片

图片

看到ClassIdentity构造函数会将包名、类名、以及md5哈希分别存入三个属性,上文中RemotableSupport加载字节码时,会以这个getName方法获取到的类名为准。

图片

梳理一下整体逻辑:

  1. 将要加载的类喂给ClassIdentity构造函数

  2. ClassDefinition构造函数接收第一步创建的ClassIdentity对象、以及要加载的类字节码

  3. RemoteConstructor构造函数接收第二步创建的ClassDefinition对象、以及要加载的类构造函数的参数类型数组

反序列化时就会触发类加载,要解决的核心问题是ClassIdentity构造函数把传给ClassLoader.defineClass的类名作了变化,我们也要对字节码中的类名作相应的格式变化,用asm或者javassist或者手动创建类对象都行。

图片

defineClass:181, RemotableSupport (com.tangosol.internal.util.invoke)
realize:137, RemotableSupport (com.tangosol.internal.util.invoke)
newInstance:120, RemoteConstructor (com.tangosol.internal.util.invoke)
readResolve:231, RemoteConstructor (com.tangosol.internal.util.invoke)
invoke0:-1, NativeMethodAccessorImpl (sun.reflect)
invoke:62, NativeMethodAccessorImpl (sun.reflect)
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
invoke:498, Method (java.lang.reflect)
invokeReadResolve:1260, ObjectStreamClass (java.io)
readOrdinaryObject:2078, ObjectInputStream (java.io)
readObject0:1573, ObjectInputStream (java.io)

CVE-2021-2135

早期对于14756的修复方法之一就是在ExternalizableHelper#readExternalizableLiteloadClass后,判断输入流属于ObjectInputStream就进入检查流程。这就是把找一条非ObjectInputStream输入流就能绕过写在脸上了。

图片

extract:95, MvelExtractor (com.tangosol.coherence.rest.util.extractor)

extract:112, ReflectionExtractor (com.tangosol.util.extractor)
extract:105, ChainedExtractor (com.tangosol.util.extractor)

// extract:96, MultiExtractor (com.tangosol.util.extractor)

compare:79, AbstractExtractor (com.tangosol.util.extractor)
compare:416, SortedBag$WrapperComparator (com.tangosol.util)
compare:1295, TreeMap (java.util)
put:538, TreeMap (java.util)
add:152, SortedBag (com.tangosol.util)
add:268, TopNAggregator$PartialResult (com.tangosol.util.aggregator)
readExternal:297, TopNAggregator$PartialResult (com.tangosol.util.aggregator)
readExternalizableLite:2265, ExternalizableHelper (com.tangosol.util)
readObjectInternal:2579, ExternalizableHelper (com.tangosol.util)
deserializeInternal:3098, ExternalizableHelper (com.tangosol.util)
fromBinary:334, ExternalizableHelper (com.tangosol.util)
getKey:56, SimpleBinaryEntry (com.tangosol.internal.util)
toString:153, SimpleBinaryEntry (com.tangosol.internal.util)
equals:392, XString (com.sun.org.apache.xpath.internal.objects)
equals:3415, Base (com.tangosol.util)
put:213, LiteMap (com.tangosol.util)
readMap:1900, ExternalizableHelper (com.tangosol.util)
readExternal:190, ConditionalPutAll (com.tangosol.util.processor)
readExternalizableLite:2265, ExternalizableHelper (com.tangosol.util)
readObjectInternal:2579, ExternalizableHelper (com.tangosol.util)
readObject:2524, ExternalizableHelper (com.tangosol.util)
readObject:2502, ExternalizableHelper (com.tangosol.util)
readExternal:406, AttributeHolder (com.tangosol.coherence.servlet)
readExternal:371, AttributeHolder (com.tangosol.coherence.servlet)
readExternalData:2118, ObjectInputStream (java.io)
readOrdinaryObject:2067, ObjectInputStream (java.io)
readObject0:1573, ObjectInputStream (java.io)
杭州默安科技
关注
  • 19
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2020-14756:WebLogic T3IIOP RCE coherence.jar的ExternalizableHelper.class
05-25
CVE-2020-14756 的WebLogic T3 / IIOP RCE ExternalizableHelper.class of coherence.jar 自述文件 基于和项目 在12.2.1.4.0和jdk 1.8.0_221上测试 参考
【漏洞通告】WebLogic多个远程代码执行漏洞通告
爱国小白帽
04-15 1682
【漏洞通告】WebLogic多个远程代码执行漏洞通告 原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)???? 今天 通告编号:NS-2020-0026 2020-04-15 TAG: WebLogic、CVE-2020-2801、CVE-2020-2883、CVE-2020-2884、CVE-2020-2915 漏洞等级: 高,攻击者利用此类漏洞,可实现...
总结分析组件化漏洞产生的原理
kali_Ma的博客
08-10 426
前言 Coherence 组件是 WebLogic 中的一个核心组件,内置在 WebLogic 中。关于 Coherence 组件的官方介绍:https://www.oracle.com/cn/java/coherence/ 近些年,weblogic Coherence 组件反序列化漏洞被频繁爆出,苦于网上没有公开对 weblogic Coherence 组件历史反序列化漏洞的总结,导致很多想入门或者了解 weblogic Coherence 组件反序列化漏洞的朋友不知道该怎么下手,于是本文便对 webl
网络安全---漏洞复现】WebLogic 反序列化漏洞(CVE-2019-2890)漏洞复现
最新发布
m0_67844671的博客
09-19 1645
Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单,使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。
CVE-2020-2021:SAML身份验证机制绕过漏洞通告
爱国小白帽
06-30 3540
CVE-2020-2021:SAML身份验证机制绕过漏洞通告 360-CERT [三六零CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年06月30日, 360CERT监测发现Palo Alto官方发布了SAML身份验证机制绕过的风险通告,该漏洞编号为CVE-2020-2021,漏洞等级:高危。 安全声明标记语言(SAML)是用于根据用户在另一上下文中的会话将其登录到当前应用程序中的标准。 SAML身份验证机制存在身份验证绕过的威胁。当SAML开启,同时Vali
【首发】CVE-2020-15257 容器逃逸漏洞复现与解析附Poc
爱国小白帽
12-05 3080
漏洞简介 containerd是行业标准的容器运行时,可作为Linux和Windows的守护程序使用。在版本1.3.9和1.4.3之前的容器中,容器填充的API不正确地暴露给主机网络容器。填充程序的API套接字的访问控制验证了连接过程的有效UID为0,但没有以其他方式限制对抽象Unix域套接字的访问。这将允许在与填充程序相同的网络名称空间中运行的恶意容器(有效UID为0,但特权降低)导致新进程以提升的特权运行。 影响版本 containerd < 1.4.3 containerd < 1.3.9
weblogic 10.3.6 安全补丁
04-08
5. **安全性维护**:定期检查并安装最新的安全补丁是保持WebLogic Server安全运行的重要措施。这不仅有助于抵御新出现的威胁,还能符合许多组织的安全策略和合规要求。 6. **Java相关**:由于WebLogic Server基于...
Weblogic安全配置规范1
08-03
1.1. 目的 1.2. 范围 2.1. 强化操作系统网络服务 2.2. 使用可以防止非授权访问的文件系统 2.3. 限制 Weblogic 主机上的用户数量
WebLogic系统安全加固规范.doc
12-14
WebLogic系统安全加固规范 根据提供的文件信息,WebLogic系统安全加固规范是指对WebLogic系统进行安全加固的规范和标准。该规范主要涵盖了账号管理、认证授权、日志配置、通信协议、设备其他安全要求等多个方面的...
weblogic安全补丁安装说明
07-23
WebLogic Server,作为Oracle公司的一款企业级应用服务器,它的安全性能直接影响到整个系统的稳定性与安全性。本文将详细阐述WebLogic安全补丁的安装步骤,以帮助管理员确保服务器的安全性。 首先,了解补丁的获取...
weblogic安全管理
12-15
WebLogic服务器的安全管理是确保企业级应用和服务安全运行的重要环节。WebLogic是Oracle公司的一款企业级Java EE应用服务器,它提供了丰富的安全管理特性来保障应用服务的安全。本文将深入探讨WebLogic安全配置...
CVE-2020-1472漏洞实战 深度剖析
Ms08067安全实验室
11-18 9254
本文作者:Faith(Ms08067实验室 内网安全攻防知识星球)0x00漏洞说明CVE-2020-1472是继MS17010之后一个比较好用的内网提权漏洞,影响Windows Serv...
反序列化漏洞汇总
buffedon的博客
07-15 4353
JAVA反序列化、PHP反序列化,场景容器反序列化利用过程
Weblogic LDAP 远程代码执行漏洞 CVE-2021-2109
PeiQi的博客
01-22 3492
Weblogic LDAP 远程代码执行漏洞 CVE-2021-2109 漏洞描述 2021年1月20日,绿盟科技监测发现Oracle官方发布了2021年1月关键补丁更新公告CPU(Critical Patch Update),共修复了329个不同程度的漏洞,其中包括7个影响WebLogic的严重漏洞(CVE-2021-1994、CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075、CVE-2019-17195、CVE-2020-14756),未经身
CVE-2020-11100: HAProxy 内存越界写入漏洞通告
爱国小白帽
04-07 1353
CVE-2020-11100: HAProxy 内存越界写入漏洞通告 360-CERT [360CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年04月06日, 360CERT监测发现 HAProxy 官方发布了针对其 HTTP/2 HPACK 解码器中存在的一个严重漏洞的修复公告。 该漏洞由 Google Project Zero 团队的 @Felix W...
CVE-2020-14644 weblogic iiop反序列化漏洞分析
爱国小白帽
08-11 2136
360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-081101 报告来源:360CERT 报告作者:ph4nt0mer 更新日期:2020-08-11 0x01 文章简述 2020年7月15日,Oracle发布2020年7月关键补丁更新,其中针对 WebLogic Server Core组件,且评分为9.8的严重漏洞共有4个,360CERT对其中CVE-2020-14644的反序列化利用链进行了分析。 0x02 weblogic 受影响版本
简单聊聊CVE-2020-13379
一个安全研究员
08-04 8102
多次跳转导致的ssrf
CVE-2020-17519 漏洞复现
weixin_43885355的博客
01-31 1328
CVE-2020-17519 0x00 简介 Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。基于流执行引擎,Flink提供了诸多更高抽象层的API以便用户编写分布式任务。 0x01 漏洞概述 CVE-2020-17519 任意文件读取漏洞 Apache Flink 1.11.0中引入了一项更新,该更新在1.11.1及更高的版本和1.11.2中发布。 该项更新允许攻击者通过JobManager进程的REST API读取JobManag
CVE-2020-14882:Weblogic Console 权限绕过深入解析
爱国小白帽
11-05 6279
原创 360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-110501 报告来源:360CERT 报告作者:Hu3sky 更新日期:2020-11-05 0x01 漏洞简述 2020年10月29日,360CERT监测发现 Weblogic ConSole HTTP 协议代码执行漏洞 相关 POC 已经公开,相关漏洞编号为 CVE-2020-14882,CVE-2020-14883 ,漏洞等级:严重 ,漏洞评分:9.8 。 远程攻击者可以构
WebLogic安全指南:全面配置与实践
WebLogic安全管理是WebLogic Server中一项关键的功能,它确保系统的安全性和数据完整性。这一章详尽介绍了WebLogic安全配置过程,包括以下几个核心环节: 1. **改变系统口令**:首先,为了保护服务器免受未经授权...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值