php反序列化cve漏洞复现,CVE-2019-2890 Weblogic t3反序列化漏洞分析

最新推荐文章于 2023-12-09 22:52:19 发布
最新推荐文章于 2023-12-09 22:52:19 发布
阅读量301 收藏 1
点赞数
文章标签: php反序列化cve漏洞复现

@Adminxe

66ba4834be0e81bbfed7fbe19150fec3.png

0x01 漏洞背景

在WebLogic官方发布的10月份安全补丁中,包含了由Venustech ADLab提交的CVE-2019-2890的修复。该漏洞通过T3协议发送恶意的反序列化数据绕过了Weblogic的黑名单,成功反序列化执行任意命令。通过官方公告可知,该漏洞的利用条件是需要认证。

34b4f5845a180d87e8db2bd706b01f2a.png

0x02 影响范围

Weblogic 10.3.6.0.0

Weblogic 12.1.3.0.0

Weblogic 12.2.1.3.0

0x03 漏洞分析

下面以10.3.6.0作为分析版本。问题出现在PersistentContext类上,通过查看继承关系我们知道PersistentContext类实现了序列化接口Serializable。

1d980a5aa868ec992787ec519d857826.png

PersistentContext类继承关系

我们来看看它的readObject方法,将ObjectInputStream类对象var1传入readSubject方法。

11cdad793773088285788750c0717360.png

readObject方法

跟进readSubject方法发现,会先从var1中读取反序列化数据当中的对象数据。然后调用EncryptionUtil.decrypt方法进行解密,最后解密后的数据被用于反序列化为对象。

c089d4bd9a6c03b7ad1227bbbf851a5b.png

readSubject方法

至此我们知道PersistenContext序列化数据中还携带了其他对象反序列化后的加密数据。如果我们在序列化PersistentContext时,将恶意对象反序列化数据先加密,然后writeObject,就可以让其携带恶意对象,绕过Weblogic黑名单进行反序列化了。

0x04 漏洞利用

根据以上思路,我们编写一个携带恶意对象的PersistenContext类。只需修改下原来代码中的writeSubject方法为如下,其中Poc.getObject()就是我们的恶意对象。

0fa0e757eb0afe3d0ad4429f3f65ae21.png

修改writeSubject方法代码

在进行序列化之前我们要处理四个问题。第一个问题是创建PersistenContext对象报错。

1e64bc73a6c2d9dd5d474f6b8676ff8d.png

创建PersistenContext对象报错信息

这是因为PersistenContext初始化时调用了SecurityServiceManager.isKernelIdentity()进行内核身份判断。isKernelIdentity方法无论如何都会抛出一个NotSupportedException异常,导致我们序列化被终止。

2e3eca3b6033980008229534dab33452.png

SecurityServiceManager.isKernelIdentity()方法

我们可以将其注释掉

ed1af33c31dca12212058a0fd7fdbb50.png

PersistenContext构造方法要修改的代码

第二个问题是反序列化PersistenContext类会出现卡死现象。这是因为PersistenContext等相关的类都会有一个AuthenticatedSubject静态对象要初始化。

75a9dc26310733982922b35aa21b69b4.png

静态AuthenticatedSubject内核id对象

初始化时会进入到如下代码。

d8f8d20cafa26a320241f306786f4ab2.png

导致卡死的代码段

我们需要ceClient变量为true,否则会一直进循环执行ceSubjectManagerLock.wait()进行等待,无法序列化!而ceClient是从系统属性com.bea.core.internal.client获取的,所以在序列化之前需要将该属性设置为true。

cb8a44d6d01d36e94e8c15506e340090.png

ceClient变量的赋值

第三个问题是恶意对象没有被加密。这是因为在调用EncryptionUtil.encrypt方法加密时,会根据Kernel.isServer()为true时才会进行加密,否则返回原数据。

因此加密之前需要调用KernelStatus.setIsServer(true)设置状态为true。

0330cc35e651b87e36bd59f5c5d55d6d.png

加密时的判断

第四个问题,加密时需要SerializedSystemIni.dat文件。 我们需要目标服务器weblogic当前使用域下该文件放到我们poc的根目录。这也是官方将这个漏洞划分为需要认证的原因。

766b5c612ff380f3c8bcb63c5594f6ab.png

加密时需要SerializedSystemIni.dat文件

解决完这四个问题,就可以将PersistenContext对象反序列化为文件了。最后通过t3协议发送反序列化数据给Weblogic,即可执行任意命令。

58df96db8ebbfca691233e4a7c8eae62.png

序列化PersistenContext对象为文件

906910ef873b66e7f84987caccde306d.png

漏洞利用演示

0x05 补丁分析

通过对比,发现最新补丁在反序列化时,使用WSFilteringObjectInputStream对要反序列化的对象进行过滤。

91adb526382a93741ed3a3897d4386cc.png

补丁修复处

WSFilteringObjectInputStream实现了Weblogic下的过滤接口 FilteringObjectInputStream。在其resolveClass方法中,检查要反序列化的类是不是Subject的子类,不是则会抛出一个非法类异常,反序列化终止!

79db4146cfe14fb1d2d98bdb7b249c00.png

补丁修复的方式

0x06 分析总结

这个漏洞需要满足以下两个条件,才能触发成功,较为鸡肋。

Weblogic开启t3协议

可以获取到SerializedSystemIni.dat文件

但是在实际环境中,如果部署在weblogic的站点存在任意文件下载或者任意文件读取,那么配合上该漏洞即可执行任意命令。

0x07 参考文章

喜欢 (3)or分享 (0)

研之成理
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP反序列化漏洞
谢公子的博客
10-29 2560
目录 PHP面向对象 PHP的序列化与反序列化 序列化 反序列化 Phar反序列化 POP链构造 PHP面向对象 PHP是面向对象的程序设计语言。 在现实世界里我们所面对的事情都是对象,如计算机、电视机、自行车等。比如 Animal(动物) 是一个抽象类,我们可以具体到一只狗跟一只羊,而狗跟羊就是具体的对象,他们有颜色属性,可以写,可以跑等行为状态。 对象的主要三个特性: 对...
WebLogic 反序列化漏洞(CVE-2019-2890)
午夜安全
10-20 3246
WebLogic 反序列化漏洞(CVE-2019-2890) 漏洞描述 2019年10月15日,Oracle官方发布了2019年10月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞漏洞编号为CVE-2019-2890Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic反序列化黑名单,使攻击者可以...
WebLogic 反序列化漏洞(CVE-2019-2890)复现(超详细)
热门推荐
good good study
03-16 1万+
目录 一. 漏洞介绍 二. 影响范围 三. 漏洞环境搭建 四. 漏洞复现 五. 漏洞修复 六. 漏洞检测poc 很多漏洞复现文章都不够详细,就是你按照他写的去复现会出很多很多的问题。我综合了几篇文章,写下这最详细的复现步骤。希望能帮助大家少走弯路 一. 漏洞介绍 2019年10月15日,Oracle官方发布了2019年10月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞漏洞编号为CVE-2019-2890。 Weblogi...
CVE-2019-2890 Weblogic t3反序列化漏洞分析
Adminxe的博客
05-05 1139
@Adminxe 0x01 漏洞背景 在WebLogic官方发布的10月份安全补丁中,包含了由Venustech ADLab提交的CVE-2019-2890的修复。该漏洞通过T3协议发送恶意的反序列化数据绕过了Weblogic的黑名单,成功反序列化执行任意命令。通过官方公告可知,该漏洞的利用条件是需要认证。 0x02 影响范围 Weblogic 10.3.6.0.0 Weblog...
Weblogic T3协议反序列化漏洞
最新发布
来日可期的博客
12-09 1877
T3协议用于在Weblogic服务器和其他类型的Java程序之间传输信息的协议。Weblogic会跟踪连接到应用程序的每个Java虚拟机,要将流量传输到Java虚拟机,Weblogic会创建一个T3连接。该链接会通过消除在网络之间的多个协议来最大化效率,从而使用较少的操作系统资源。用于T3连接的协议还可以最大限度减少数据包大小,提高传输速度。
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .txt
06-27
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .网上几乎没有,请珍惜。
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"是针对这一特定漏洞的检测与防护解决方案。 首先,我们来理解什么是Java反序列化漏洞。在Java中,序列化是将对象的状态转化为...
CVE-2019-2725:WebLogic不安全反序列化-CVE-2019-2725有效负载生成器和漏洞利用
04-25
CVE-2019-2725 WebLogic Universal Exploit-CVE-2017-3506 / CVE-2017-10271 / CVE-2019-2725 / CVE-2019-2729有效负载生成器和利用信息/帮助$ python3 weblogic_exploit.py -h====================================...
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)以及安装步骤
11-23
**一、Weblogic反序列化漏洞详解** 1. **漏洞原理**:WebLogic Server在处理某些类型的数据流时,没有正确地验证输入,这使得攻击者可以构造特殊的Java序列化对象并将其发送到服务器,从而触发远程代码执行。攻击者...
WebLogic反序列化_CVE-2017-3248
09-06
WebLogic反序列化_CVE-2017-3248 java -jar weblogic_cmd.jar -C pwd -H 192.168.1.1 -P 7001 工具使用方法: -B Runtime Blind Execute Command maybe you should select os type -C <arg> (执行命令)Execute ...
CVE-2019-2890
03-08
声明 仅用于学习交流使用,其他用途后果自负。 说明 已经将相关jar文件都导入到了项目中,并且利用方式采用yso的JRMP,学习调试时候可以修改利用方式。 首先需要将weblogic下的SerializedSystemIni.dat文件放置到安全文件夹下。 然后需要将yso重命名为ysoserial.jar ,并导入到lib目录下。 进入weblogic / wsee / jaxws / persistence / PersistentContext.java中的getObject的IP地址和端口。 try { var3.writeObject(Poc.getObject("127.0.0.1:8000")); } catch (Exception e) { e.printStackTrace();
weblogic补丁 p29800002_10360190115_Generic
06-25
weblogic补丁, 5H68 ,p29800002_10360190115_Generic,这个补丁还需要7HKN
Weblogic10.3.6补丁包_20200714(含补丁安装说明).zip
08-19
Oracle WebLogic Server 10.3.6 2020年7月发布的累积更新补丁包 (p31178492_1036_Generic_20200714.zip),补丁名称:I37G,下载文件中包含补丁安装说明和方法(自用详细步骤)。服务器打补丁前请注意做好备份,若与旧的补丁冲突,需卸载已安装的对应旧补丁
weblogic 补丁 p28710923_121300_Generic.zip
01-17
weblogic 补丁,p28710923_121300_Generic.zip, 2019年1月
【网络安全---漏洞复现WebLogic 反序列化漏洞(CVE-2019-2890)漏洞复现
m0_67844671的博客
09-19 1458
Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic反序列化黑名单,使攻击者可以通过T3协议对存在漏洞Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。
php反序列化漏洞
weixin_38885346的博客
05-09 176
一、什么是(反)序列化 (反)序列化是PHP提供的一种可以简单传输对象或者数组的方法 serialize()为序列化方法 unserialize()为反序列化方法 (反)序列化在提高传输效率的同时,也存在一些漏洞,一些是由于(反)序列化自身语法引起的,一些是由于序列化的数据是用户可控的恶意数据。 二、(反)序列化原理 这里涉及到两个很重要的魔法函数(属于被(反)序列化的类): sleep():若该函数存在,则在序列化时会调用该函数,一般的作用是将对应的对象或者数组删除,可自定义。 wakeup():若该函数
反序列化渗透与攻防(一)之PHP反序列化漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-12 547
序列化和反序列化几乎是工程师们每天都要面对的事情,但是要精确掌握这两个概念并不容易:一方面,它们往往作为框架的一部分出现而湮没在框架之中;另一方面,它们会以其他更容易理解的概念出现,例如加密、持久化。然而,序列化和反序列化的选型却是系统设计或重构一个重要的环节,在分布式、大数据量系统设计里面更为显著。恰当的序列化协议不仅可以提高系统的通用性、强健性、安全性、优化系统性能,而且会让系统更加易于调试、便于扩展。
oracle 序列_【漏洞预警】WebLogic反序列化CVE-2019-2890漏洞预警
weixin_39753584的博客
12-02 215
2019年10月,白帽汇安全研究院监测到互联网上爆出了Weblogic反序列化远程命令执行漏洞WebLogic是美国Oracle公司出品的Java应用服务器,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。攻击者可利用该漏洞在未经授权的攻击者可通过构造T3协议请求,绕过Weblogic反序列化黑名单,从而获取Weblogic服务器权限,风险较大。希望相关...
GLPI htmLawedTest.php 远程命令执行漏洞CVE-2022-35914)复现+深度利用(详细图文)
m0_60884805的博客
10-09 2206
​ GLPI10.0.2及之前版本存在安全漏洞,该漏洞源于htmlawed模块中的/vendor/htmlawed/htmlawed/htmLawedTest.php允许PHP代码注入。 ​
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-144391
07-14
你提到的 Jackson 最新反序列化漏洞CVE-2019-14361 和 CVE-2019-14439。这些漏洞都是与 Jackson 库中的反序列化功能相关的安全问题。 CVE-2019-14361 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.9.x 版本。 CVE-2019-14439 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.6.x 至 2.9.x 版本。 为了解决这些漏洞,建议开发人员尽快升级到最新版本的 Jackson-databind 库。另外,还可以考虑限制反序列化操作的使用,以减少潜在的风险。记住及时关注安全公告,并采取相应的措施来保护应用程序免受可能的攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值