一步一步回顾分析攻防演习中的 WebLogic T3 反序列化 0day 漏洞

最新推荐文章于 2024-07-19 19:26:16 发布
最新推荐文章于 2024-07-19 19:26:16 发布
阅读量638 收藏
点赞数
文章标签: hashmap 内存泄漏 数学建模 信息安全 hashcode
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smellycat000/article/details/116213521
版权
本文深入分析了WebLogic T3反序列化0day漏洞,涉及Jdk7u21的PoC,重点讨论了如何利用MarshalledObject绕过黑名单。通过构造恶意类,利用反序列化执行恶意代码,实验复现了漏洞利用过程,并探讨了补丁的修复策略。
摘要由CSDN通过智能技术生成

 聚焦源代码安全,网罗国内外最新资讯!

本文内容共分六部分:

一、前言

二、Jdk7u21 的 PoC 分析

1、第一部分利用链分析

2、第二部分利用链分析

三、MarshalledObject分析

四、PoC 构造

五、实验复现

六、补丁分析

一、前言

本次攻防演习期间,有人发现 Weblogic T3反序列化0day漏洞。攻击者可在原Jdk7u21 POC 基础上,加上 java.rmi.MarshalledObject 绕过黑名单,达到入侵目的,具体如下。

二、Jdk7u21的PoC分析

gadget 如下:

HashSet.readObject()
 HashMap.put()
  HashMap.hash()
   *.hashCode() (计算第一个对象hash值)
HashSet.readObject()
 HashMap.put()
  HashMap.hash()
   *.hashcode()
    AnnotationInvocationHandler.invoke()
     AnnotationInvocationHandler.hashCodeImpl()
 HashMap.put()
  AnnotationInvocationHandler.invoke()
   AnnotationInvocationHandler.equalsImpl()
    TemplatesImpl.getOutputProperties()
     TemplatesImpl.getTransletInstance()
      TemplatesImpl.defineTransletClasses()
       TemplatesImpl$TransletClassLoader
     TemplatesImpl.getTransletInstance()
      Class.newInstance()
       Runtime.exec()

1、分析第一部分利用链

Jdk7u21的第一部分利用链如下。

HashSet.readObject()
 HashMap.put()
  HashMap.hash()
   *.hashCode()(计算第一个对象hash值)
HashSet.readObject()
 HashMap.put()
  HashMap.hash()
   *.hashcode()
    AnnotationInvocationHandler.invoke()
     AnnotationInvocationHandler.hashCodeImpl()
 HashMap.put()
  AnnotationInvocationHandler.invoke()
   AnnotationInvocationHandler.equalsImpl()

在对 LinkedHashSet 反序列化过程中,会进入 HashSet.readObject() 函数,关键代码块如下。

/ Read in all elements in the proper order.
for (int i=0; i<size; i++) {
    E e = (E) s.readObject();
    map.put(e, PRESENT);
}

根据 POC 信息,可知该函数会依次读取 LinkedHashSet 的 templates 和proxy对象,并将它们加入 map中。为什么需要加载两个对象呢?继续进入map.put() 函数,如下。

public V put(K key, V value) {
    if (key == null)
        return putForNullKey(value);
    int hash = hash(key);
    int i = indexFor(hash, table.length);
    for (Entry<K,V> e = table[i]; e != null; e = e.next) {
        Object k;
        if (e.hash == hash && ((k = e.key) == key || key.equals(k))) {
            V oldValue = e.value;
            e.value = value;
            e.recordAccess(this);
            return oldValue;
        }
    }


    modCount++;
    addEntry(hash, key, value, i);
    return null;
}

该函数会计算存储进map的第一个对象Templates的Hash值,进入hash(key),如下。

final int hash(Object k) {
    int h = 0;
    if (useAltHashing) {
        if (k instanceof String) {
            return sun.misc.Hashing.stringHash32((String) k);
        }
        h = hashSeed;
    }


    h ^= k.hashCode();


    // This function ensures that hashCodes that differ only by
    // constant multiples at each bit position have a bounded
    // number of collisions (approximately 8 at default load factor).
    h ^= (h >>> 20) ^ (h >>> 12);
    return h ^ (h >>> 7) ^ (h >>> 4);
}

程序会执行常规hash运算,注意,其中的 k.hashCode() 调用了系统函数;而如果构造动态代理,编写或寻找到合适代理类,则极有可能使多个存储进map的对象的hash值一致。返回至HashMap.put() 函数,继续分析,进入至indexFor(hash, table.length) 函数,如下。

/**
 * Returns index for hash code h.
 */
static int indexFor(int h, int length) {
    return h & (length-1);
}

table对象的原定义代码是table[bucketIndex] = new Entry<>(hash, key, value, e),负责保存 map 中每个对象及 hash 值等信息。此函数没有保存对象信息功能,仅仅负责统计返回当前对象在 table 中的索引值。随后返回至HashMap.put() 函数。

随后,如当前对象不在 table 中,则不进入循环,而是进入 addEntry(hash, key, value, i); 且在此期间进入父类方法,最终当前对象被保存至 table 中,关键代码如下。

void createEntry(int hash, K key, V value, int bucketIndex) {
    HashMap.Entry<K,V> old = table[bucketIndex];
    Entry<K,V> e = new Entry<>(hash, key, value, old);
    table[bucketIndex] = e;
    e.addBefore(header);
    size++;
}

保存完第一个对象后,程序返回到 HashSet.readObject() 方法,并在 map 中添加第二个对象。如第二个对象是代理对象,则其 hash 值可能与前一个对象的hash 值碰撞,从而有利于绕过代码的验证逻辑,便于未来开展入侵测试;如POC中存在第二个代理对象,则会继续进入 map.put()。

进入 hash(key),计算第二个代理对象的hash值,进入 HashMap.hash() 函数。

在 POC 中,第二个代理对象的代理类是 AnnotationInvocationHandler,因此执行 k.hashCode() 时,会首先进入 AnnotationInvocationHandler.invoke() 方法,如下。

public Object invoke(Object var1, Method var2, Object[] var3) {
    String var4 = var2.getName();
    Class[] var5 = var2.getParameterTypes();
    if (var4.equals("equals") && var5.length == 1 && var5[0] == Object.class) {
        return this.equalsImpl(var3[0]);
    } else {
        assert var5.length == 0;


        if (var4.equals("toString")) {
            return this.toStringImpl();
        } else if (var4.equals("hashCode")) {
            return this.hashCodeImpl();
        } else if (var4.equals("annotationType")) {
            return this.type;
        } else {
            Object var6 = this.memberValues.get(var4);
            if (var6 == null) {
                throw new IncompleteAnnotationException(this.type, var4);
            } else if (var6 instanceof ExceptionProxy) {
                throw ((ExceptionProxy)var6).generateException();
            } else {
                if (var6.getClass().isArray() && Array.getLength(var6) != 0) {
                    var6 = this.cloneArray(var6);
                }


                return var6;
            }
        }
    }
}

根据方法名进入this.hashCodeImpl();,相关的代码块如下。

private int hashCodeImpl() {
    int var1 = 0;


    Entry var3;
    for(Iterator var2 = this.memberValues.entrySet().iterator(); var2.hasNext(); var1 += 127 * ((String)var3.getKey()).hashCode() ^ memberValueHashCode(var3.getValue())) {
        var3 = (Entry)var2.next();
    }


    return var1;
}
private static int memberValueHashCode(Object var0) {
    Class var1 = var0.getClass();
    if (!var1.isArray()) {
        return var0.hashCode();
    } else if (var1 == byte[].class) {
        return Arrays.hashCode((byte[])((byte[])var0));
    } else if (var1 == char[].class) {
        return Arrays.hashCode((char[])((char[])var0));
    } else if (var1 == double[].class) {
        return Arrays.hashCode((double[])((double[])var0));
    } else if (var1 == float[].class) {
        return Arrays.hashCode((float[])((float[])var0));
    } else if (var1 == int[].class) {
        return Arrays.hashCode((int[])((int[])var0));
    } else if (var1 == long[].class) {
        return Arrays.hashCode((long[])((long[])var0));
    } else if (var1 == short[].class) {
        return Arrays.hashCode((short[])((short[])var0));
    } else {
        return var1 == boolean[].class ? Arrays.hashCode((boolean[])((boolean[])var0)) : Arrays.hashCode((Object[])((Object[])var0));
    }
}

var3信息来自AnnotationInvocationHandler的memberValues成员变量:如var3 中只有一条map信息,且该map的key为"f5a5a608"而value是加入map的第一个对象,则经调试分析发现,此时会发生两个对象hash值碰撞的情况。返回至 HashMap.put() 继续分析。

在循环代码块中,存在关键比较逻辑,如下。

if (e.hash == hash && ((k = e.key) == key || key.equals(k))) {
    V oldValue = e.value;
    e.value = value;
    e.recordAccess(this);
    return oldValue;
}

该逻辑首先会比较两个对象的hash值是否相等:根据 PoC 可知两值相等,并且会执行至 key.equals(k)。k是第一个对象,key是第二个代理对象,则会执行代理类invoke()方法。POC中的代理类是AnnotationInvocationHandler,则进入AnnotationInvocationHandler.invoke(),随后再进入this.equalsImpl(var3[0]),如下。

private Boolean equalsImpl(Object var1) {
    if (var1 == this) {
        return true;
    } else if (!this.type.isInstance(var1)) {
        return false;
    } else {
        Method[] var2 = this.getMemberMethods();
        int var3 = var2.length;


        for(int var4 = 0; var4 < var3; ++var4) {
            Method var5 = var2[var4];
            String var6 = var5.getName();
            Object var7 = this.memberValues.get(var6);
            Object var8 = null;
            AnnotationInvocationHandler var9 = this.asOneOfUs(var1);
            if (var9 != null) {
                var8 = var9.memberValues.get(var6);
            } else {
                try {
                    var8 = var5.invoke(var1);
                } catch (InvocationTargetException var11) {
                    return false;
                } catch (IllegalAccessException var12) {
                    throw new AssertionError(var12);
最低0.47元/天 解锁文章
奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Weblogic12c T3 协议安全漏洞分析【CVE-2020-14645 && CVE-2020-2883 && CVE-2020-14645】
weixin_45694388的博客
10-02 2115
前言 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的间件。 主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 近几年频繁爆发出多个RCE漏洞,而在今年,其T3协议被频繁攻击和发布补丁与绕过,本文主要对今年来由T3协议入口所产生的多个RCE漏洞进行分析,其主要包括CVE-2020-2555、 CVE-2020-2883(bypass CVE-2020-2555补丁)、 CVE-2020
预警| WebLogic Server再曝高危0 day漏洞
systemino的博客
06-19 278
6月11日,阿里云安全团队发现WebLogic CVE-2019-2725补丁绕过的0day漏洞,并第一时间上报Oracle官方, 6月12日获得Oracle官方确认。由于Oracle尚未发布官方补丁,漏洞细节和真实PoC也未公开,为保障客户的安全性,阿里云Web应用防火墙(WAF)紧急更新规则,已实现对该漏洞的默认防御。 一、漏洞简介 WebLogic Server是美国甲骨文(Oracle...
Weblogic T3协议反序列化漏洞
来日可期的博客
12-09 1968
T3协议用于在Weblogic服务器和其他类型的Java程序之间传输信息的协议。Weblogic会跟踪连接到应用程序的每个Java虚拟机,要将流量传输到Java虚拟机,Weblogic会创建一个T3连接。该链接会通过消除在网络之间的多个协议来最大化效率,从而使用较少的操作系统资源。用于T3连接的协议还可以最大限度减少数据包大小,提高传输速度。
速报:Weblogic反序列化0day/1day漏洞的临时修补方案
最新发布
ABC_123的博客
07-19 460
Part1 前言大家好,我是ABC_123。一年一度的大考就要开始了,坊间传闻weblogic间件爆出了0day或者1day漏洞,这里ABC_123给大家提供一个临时的漏洞修补方案。Part2 研究过程最近几年的weblogic反序列化漏洞都与T3和IIOP协议相关,所以还是建议禁用T3和IIOP协议,但是网上很多禁用方法不对,ABC_123给大家介绍一下正确操作方法。禁用T3协议过程进...
Weblogic T3协议反序列化漏洞(CVE-2018-2628)
Kevin's Blog
06-10 9050
文章目录一、漏洞介绍1.1 漏洞详情1.2 基本原理1.3 影响版本二、环境搭建三、攻击过程3.1 信息收集3.2 漏洞探测3.3 攻击操作3.4 流量走向四、修复方法 一、漏洞介绍 1.1 漏洞详情   开放Weblogic控制台的7001端口,默认会开启T3协议服务,T3协议触发的Weblogic Server WLS Core Components存在反序列化漏洞,攻击者可以发送构造的恶意T3协议数据,获取目标服务器权限。 1.2 基本原理   T3协议缺陷实现了Java虚拟机的远程方法调用(RM
0day漏洞java_fastjson反序列化0day漏洞分析
weixin_36396810的博客
03-02 346
背景fastjson号称要做最好的json解析库,但是上半年连续搜收到两份安全部的漏洞警告,很尴尬,因此对fastjson漏洞做了一个简单的研究。本文会分析2017年的远程执行漏洞和2019年上半爆出的0day漏洞。名词解释:0day:信息安全意义上的0Day是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。poc:Proof ofConcept,文意思是“观点证明”。这个短语会在漏...
weblogic反序列化全版本漏洞利用工具
06-27
weblogic反序列化全版本漏洞利用工具,可执行命令
【技术分享】WebLogic T3协议反序列化 0day 漏洞分析 .pdf
09-05
【技术分享】WebLogic T3协议反序列化 0day 漏洞分析 安全运营 大数据 解决方案 安全防护 金融安全
Weblogic全版本反序列化漏洞利用工具.jar
07-03
Weblogic全版本反序列化漏洞利用工具.jar 是一个专门针对Oracle WebLogic服务器漏洞利用工具。WebLogic是Oracle公司的一款企业级应用服务器,广泛应用于各类企业的业务系统开发和部署。这个.jar文件表明,该工具...
Weblogic T3 反序列化学习
qq_31065143的博客
08-03 671
Weblogic T3 反序列化学习 前言 最近在公司实习也没有太多事情,就来学习一下Weblogic听好多师傅讲过很多次了。 这里我使用的是ATEAM大哥开源的搭建工具,感谢前人提供的便捷。我这里本来打算在自己电脑上搭建,但是说多了都是泪,m1适配问题。。。。最后还是跑云服务器上进行了搭建。 搭建过程 下载文件 先从GitHub上面拉取项目,拉取之后创建两个文件夹jdks,weblogics。 jdk下载地址: https://www.oracle.com/technetwork/java/javas
WebLogic WLS远程执行漏洞(CVE-2017-10271)验证
12-18
一段小代码,WebLogic WLS远程执行漏洞(CVE-2017-10271)验证。
WebLogic远程命令执行0day漏洞
congsuituo5014的博客
07-02 1002
验证漏洞 浏览器访问http://<IP地址>:<端口>/wls-wsat/CoordinatorPortType,如果出现以下内容,表示wsat组件启用: ...
预警| WebLogic Server曝高风险远程命令执行0 day漏洞
systemino的博客
04-27 524
近日,阿里云安全团队监测到,由国家信息安全漏洞共享平台(CNVD)收录的Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)被攻击者利用,在未授权的情况下可远程执行命令。该漏洞曾经因为使用HTTP协议,而非t3协议,被黑客利用进行大规模的挖矿行为。 目前该漏洞WebLogic 10.X和WebLogic 12.1.3两个版本均有影响...
c++获取一段代码的执行时间_【漏洞预警】Oracle WebLogic 远程代码执行0DAY漏洞安全预警通告第二次更新...
weixin_39873456的博客
11-27 115
点击箭头处“蓝色字”,关注我们哦!!尊敬的客户:Oracle官方于今日发布紧急安全更新,修复了前几日在互联网传播的Oracle远程代码执行 0DAY 漏洞(即 CVE-2019-2725 补丁绕过漏洞),并为此漏洞分配编号 CVE-2019-2729。此漏洞由奇安信代码卫士团队在五月初发现并第一时间提交至Oracle官方。奇安信安全监测与响应心将持续关注该漏洞进展,并第一时间为您更新该...
第1篇:weblogic9.x在JDK1.5下T3反序列化漏洞利用方法
ABC_123的博客
04-05 302
Part1前言年前在一次攻防比赛过程,遇到了一个9.x版本的weblogic间件,是非常老版本的Weblogic了,现有的各种漏洞利用工具都没能拿下权限,考虑到之前也曾经遇到过好几次了,于是研究了一整天,总算解决了这个遗留的技术问题。Part2解决问题过程1安装weblogic 9.x版本首先安装weblogic9.x版本,这个过程就不叙述了。使用T3协议发包后,返回...............
【网络安全---漏洞复现】WebLogic 反序列化漏洞(CVE-2019-2890)漏洞复现
m0_67844671的博客
09-19 1632
Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic反序列化黑名单,使攻击者可以通过T3协议对存在漏洞Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器
WebLogic T3 反序列化 0day 漏洞
sqlora的专栏
04-19 1385
关闭 T3 协议或限制访问地址。 1、检查是否开启T3协议:查找应用服务器路径是否存在 /bea_wls_deployment_internal/loginUser.do (返回状态码是 200 为已开启) 2、关闭和限制方式:在连接筛选器输入: weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则 输入: ip**allowt3 (允许通过T3协议访问的地址) 0.0.0.0/0 * deny t3 t3s (限制...
weblogic原理常见漏洞
qq_52973916的博客
08-11 176
Weblogic常见漏洞
weblogic t3/iiop反序列化工具
10-17
WebLogic T3/IIOP反序列化工具是一种用于利用WebLogic T3协议和IIOP协议进行反序列化攻击的工具。在WebLogic ServerT3协议是用于客户端和服务器之间进行通信的协议,而IIOP协议是一种用于分布式对象通信的协议。 这个工具可以被黑客用来利用WebLogic Server的安全漏洞,通过发送恶意的序列化数据包来实现远程代码执行。这种攻击利用了Java反序列化漏洞,是一种非常危险的攻击方式,可能导致服务器被完全控制。 WebLogic T3/IIOP反序列化工具一般包括两个主要组件:Payload生成器和Payload发送器。Payload生成器用于创建恶意的序列化数据包,而Payload发送器则负责将生成的数据包发送到目标服务器。 为了保护WebLogic Server免受此类攻击,建议采取以下措施: 1. 及时更新WebLogic Server到最新版本,修复已知的安全漏洞。 2. 规范代码开发和部署,避免使用不受信任的第三方库或组件。 3. 配置严格的访问控制策略,限制访问WebLogic Server的IP地址和端口。 4. 限制用户权限,避免赋予不必要的权限。 5. 监控WebLogic Server日志,及时检测异常活动和攻击。 6. 避免在生产环境使用默认的管理员凭据,使用强密码,并定期更换密码。 总之,WebLogic T3/IIOP反序列化工具是一种非常危险的工具,可以被黑客用来攻击WebLogic Server。为了保护服务器安全,建议采取一系列措施来防止此类攻击的发生。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值