oracle网络分析工具,Oracle cve 2020-14644 分析利用以及回显思路(附工具下载)

最新推荐文章于 2022-01-21 16:12:56 发布
最新推荐文章于 2022-01-21 16:12:56 发布
阅读量151 收藏
点赞数
文章标签: oracle网络分析工具

文章来源:宽字节安全

0x00 前置知识

1. classloader defineClass

该方法允许将符合class格式的bytes数组,作为类去加载。该方法返回一个Class对象。

一般情况下,通过defineClass加载的类,不允许同名,否则会报错,切记

2. java asm& javaassist

既然上面说了,defineClass不允许加载同名类。所以我们需要动态构建class,并生成bytes数组。在java中一般使用asm或者javaassist通过jvm字节码,直接生成一个class。两种各有优缺点。

asm语法复杂,需要熟悉jvm底层知识。运行速度快

javaassist 语法简单,运行速度慢

在这里推荐一个asm插件,可以将class一键转换为asm的java代码,并输出bytes。然后再按需修改class的相关参数

3. java反序列化的transient参数

protected transient Class m_clz;

protected transient MethodHandle m_mhCtor

transient参数修饰的变量,是不参与反序列化的。最终变量值为null

0x01 cve-2020-14644 漏洞分析

简单来讲,该漏洞在反序列化时通过defineClass直接加载类。下面是待加载

的类

下面我们从RemoteConstructor的newInstance开始分析,断点设置以及调用堆栈如下

newInstance的代码如下

public T newInstance() {

RemotableSupport support = RemotableSupport.get(this.getClassLoader());

return support.realize(this);

}

RemotableSupport可以认为是coherence自定义的Classloader。RemotableSupport中实现了defineClass。

下面我们跟入RemotableSupport的realize方法,看一下realize方法都做了什么

public T realize(RemoteConstructorconstructor) {

ClassDefinition definition = this.registerIfAbsent(constructor.getDefinition());

Class clz = definition.getRemotableClass();

if (clz == null) {

synchronized(definition) {

clz = definition.getRemotableClass();

if (clz == null) {

definition.setRemotableClass(this.defineClass(definition));

}

}

}

Remotableinstance = (Remotable)definition.createInstance(constructor.getArguments());

instance.setRemoteConstructor(constructor);

return instance;

}

首先从RemoteConstructor中获取m_definition,类型为ClassDefinition。随后调用m_definition的getRemotableClass方法。

这一句是关键。我们去看一下m_definition的getRemotableClass方法

可以很明显的看到getRemotableClass方法返回的m_clz,是通过transient修饰的。所以在反序列化后,这里一定返回null。

于是就会走到if条件的另外一个分支,调用this.defineClass(definition)去加载类。通过RemotableSupport去根据给定的参数,创建一个类。

RemotableSupport的defineClass方法就很简单了。从ClassDefinition中获取类名,类的bytes字节,调用系统的classloader去创建一个类

protected Class defineClass(ClassDefinition definition) {

String sBinClassName = definition.getId().getName();

String sClassName = sBinClassName.replace(‘/’, ‘.’);

byte[] abClass = definition.getBytes();

definition.dumpClass(DUMP_REMOTABLE);

return this.defineClass(sClassName, abClass, 0, abClass.length);

}

所以payload代码如下

在这里我们只需要通过iiop协议,直接将RemoteConstructor对象发送给weblogic服务即可

0x02 回显利用

在cve-2020-2551 回显利用中,因为classloader的问题,我们需要上传一个jar包,并区分windows与linux操作系统才可以通过URLClassloader去正确加载上传的jar包。

但是通过该漏洞,我们发现,可以直接写好类,并转换为bytes字节,通过反序列化发送给weblogic服务器即可。

至于回显,无非就是给服务器安装一个JNDI实例即可。所以我们需要加载的类的代码如下

运行结果如下

目前代码已上传至

https://github.com/potats0/cve_2020_14644

后台回复【14644】获取工具下载

励练
关注
CVE-2020-14882 未授权访问 CVE-2020-148823 RCE 含利用脚本
乌云__SS的博客
11-08 683
0x01漏洞描述 2020年10月30日, Oracle 官方的 CVE-2020-14882 Weblogic 代码执行漏洞最新补丁可被绕过,该漏洞编号为 CVE-2020-14882 ,漏洞等级:严重 ,漏洞评分:9.8 。 远程攻击者可以构造特殊的 HTTP 请求,在未经身份验证的情况下接管 WebLogic Server Console ,并在 WebLogic ServerConsole 执行任意代码。 0x02影响版本 Oracle WeblogicServer ...
weblogic漏洞复现(CVE-2020-2555)
墨痕诉清风的博客
11-09 3108
漏洞环境:fofa自己找,server=weblogic port=7001 一、漏洞简介 该反序列化的gadget存在与coherence包中。具体可以见分析 构造chain类似于common-collection的chain,可以照葫芦画瓢。 mvn 好像不能下载coherence包,很奇怪,直接下jar包就行。 反序列化的对象,通过t3发送给weblogic即可。所以,这个只是生成payload的工具 二、漏洞影响 Oracle Coherence 3.7.1.17 Or......
[CVE-2020-14644]weblogic coherence 反序列化RCE via t3
公众号shadow sock7
08-06 1431
参考: CVE-2020-14644 分析与 gadget 的一些思考 漏洞调试 com.tangosol.internal.util.invoke.RemotableSupport com.tangosol.internal.util.invoke.RemoteConstructor 使用作者给出的(12.2.1.3版本的?)这个md5值:E12ECA49F06D0401A9D406B2DCC7463A抛出了异常 java.lang.NoClassDefFoundError: com/tangos
CVE-2020-14644 weblogic iiop反序列化漏洞分析
爱国小白帽
08-11 2140
360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-081101 报告来源:360CERT 报告作者:ph4nt0mer 更新日期:2020-08-11 0x01 文章简述 2020年7月15日,Oracle发布2020年7月关键补丁更新,其中针对 WebLogic Server Core组件,且评分为9.8的严重漏洞共有4个,360CERT对其中CVE-2020-14644的反序列化利用链进行了分析。 0x02 weblogic 受影响版本
weblogic basedoman 加载两个项目_WebLogic远程代码执行漏洞CVE202014825
weixin_39518840的博客
12-12 199
漏洞概要 漏洞名称:WeblLogic远程代码执行漏洞CVE-2020-14825威胁等级:高危影响范围:Oracle WebLogic Server 12.2.1.3.0Oracle WebLogic Server 12.2.1.4.0Oracle WebLogic Server 14.1.1.0.0漏洞类型:远程代码执行利用难度:简单 漏洞分析 2.1 We...
简单聊聊CVE-2020-13379
一个安全研究员
08-04 8110
多次跳转导致的ssrf
Weblogic远程代码执行漏洞(CVE-2020-14645)复现
玄道的网安博客
07-25 4598
前言 WebLogic是美国Oracle公司出品的一个application server,是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。Oracle WebLogic Server存在远程代码执行漏洞。攻击者可利用漏洞实现远程代码执行。 环境搭建 下载地址: https://www.oracle.com/middleware/technologies/weblogic-server-insta.
weblogic未授权访问漏洞复现(CVE-2020-14882)
Armandhe的博客
06-07 5305
有了它,你知道怎么上fofa上搜搜搞搞小日本了吧
weblogic-cve_2020_2883漏洞复现
0day
01-28 4143
weblogic-cve_2020_2883漏洞复现 漏洞概述: 在Oracle官方发布的2020年4月关键补丁更新公告CPU(Critical Patch Update)中,两个针对 WebLogic Server ,CVSS 3.0评分为 9.8的严重漏洞(CVE-2020-2883、CVE-2020-2884),允许未经身份验证的攻击者通过T3协议网络访问并破坏易受攻击的WebLogic Server,成功的漏洞利用可导致WebLogic Server被攻击者接管,从而造成远程代码执行。 关键词
复现nuclei——CVE-2020-14882(WebLogic远程代码执行漏洞)
记录并分享学习安全的知识点..
01-21 2059
一、漏洞介绍 2020年10月28日,Oracle发布的10月安全更新中的Oracle WebLogic Server 远程代码执行漏洞(CVE-2020-14882)POC被公开,远程攻击者可以通过发送恶意的HTTP GET 请求。成功利用此漏洞的攻击者可在未经身份验证的情况下控制 WebLogic Server Console ,并执行任意代码。 二、影响版本 WebLogic 10.3.6.0.0 WebLogic 12.1.3.0.0 WebLogic 12.2.1.3.0 WebLo
ORA Pro ,社会网络分析工具,新一代组织建模与组织风险评估技术
qq_31243247的博客
02-25 1185
ORA Pro ,社会网络分析工具,新一代组织建模与组织风险评估技术 (前沿技术介绍 和软件试用) ORA是一款动态"元网络"评估和仿真分析工具。它包含数百个社交网络、动态网络度量、跟踪度量、节点分组过程、识别本地模式、从动态元网络角度比较和对比网络、群组和个人。 ORA被用于研究社会组织或社交网络如何在空间和时间中变化,包含在跟踪数据(例如,谁在何时何地)和网络数据(谁与谁连接,谁与何地连接…)之间来回移动的程序,并具有各种地理空间的网络度量和变化检测技术。 ORA可...
weblogic反序列化漏洞的初级理解(一)
Redredredfish的博客
08-27 4951
啥是weblogic Weblogic反序列化漏洞经过了几个阶段,利用技术也有多种变形 从利用方式来看,分为三类 1.直接通过T3协议发送恶意反序列化对象(CVE-2015-4582、CVE-2016-0638、CVE-2016-3510、CVE-2020-2555、CVE-2020-2883) 2.利用T3协议配合RMP或ND接口反向发送反序列化数据(CVE2017-3248、CVE2018-2628、CVE2018-2893、CVE2018-3245、CVE-2018-3191、CVE-2020-14
Oracle默认端口清单以及修改办法
frjcy的专栏
04-25 6217
查看IANA默认端口: http://www.iana.org/assignments/port-numbers 服务 端口 产品
【详细步骤关闭IIOP方法】Weblogic WLS组件IIOP协议远程代码执行漏洞(CVE-2020-2551)
热门推荐
beyond_zb的博客
04-26 1万+
漏洞信息如下: 绿盟科技——【威胁通告】Weblogic WLS组件IIOP协议远程代码执行漏洞(CVE-2020-2551) 详细从操作方法如下: 点击左侧服务,然后在右侧点击服务器配置下的协议,选择IIOP,在锁定服务器配置后进行编辑。 ...
NanoAirline航空公司管理系统.zip
最新发布
09-13
NanoAirline是一个基于Spring Boot框架开发的简单航空公司管理系统。该系统旨在提供航空公司的基本管理功能,包括但不限于航班管理、乘客信息管理、机票预订等功能。该系统适用于中小型航空公司或作为大型航空公司管理系统的补充,能够帮助航空公司实现高效、便捷的管理和操作。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。
基于Tensorflow的手势识别代码+数据集+文档说明(期末大作业)
09-13
基于Tensorflow的手势识别代码+数据集+文档说明(期末大作业),含有代码注释,新手也可看懂。毕业设计、期末大作业、课程设计、高分必看,下载下来,简单部署,就可以使用。该项目可以作为毕设、课程设计期末大作业使用,该系统功能完善、界面美观、操作简单、功能齐全、管理便捷,具有很高的实际应用价值。 基于Tensorflow的手势识别代码+数据集+文档说明(期末大作业),含有代码注释,新手也可看懂。毕业设计、期末大作业、课程设计、高分必看,下载下来,简单部署,就可以使用。该项目可以作为毕设、课程设计期末大作业使用,该系统功能完善、界面美观、操作简单、功能齐全、管理便捷,具有很高的实际应用价值。 基于Tensorflow的手势识别代码+数据集+文档说明(期末大作业),含有代码注释,新手也可看懂。毕业设计、期末大作业、课程设计、高分必看,下载下来,简单部署,就可以使用。该项目可以作为毕设、课程设计期末大作业使用,该系统功能完善、界面美观、操作简单、功能齐全、管理便捷,具有很高的实际应用价值。基于Tensorflow的手势识别代码+数据集+文档说明(期末大作业),含有代码注释,新手也可看懂
weixin029微信阅读网站小程序+ssm.rar
09-13
所有源码,都是可以运行起来的
基于java的植物健康系统设计与实现.docx
09-13
基于java的植物健康系统设计与实现.docx
CVE-2020-14644:WebLogic IIOP反序列化漏洞深度解析
"CVE-2020-14644是一个针对Oracle WebLogic Server的IIOP(Internet Inter-ORB Protocol)反序列化漏洞,主要影响12.2.1.3.0, 12.2.1.4.0, 和14.1.1.0.0这几个版本。该漏洞允许攻击者通过精心构造的恶意输入来触发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值