oracle 判断数值为小数位数为一位且为0_Weblogic 10.3.6.0版本 Console HTTP 协议远程代码执行漏洞分析以及poc构造...

最新推荐文章于 2021-04-12 07:09:11 发布
最新推荐文章于 2021-04-12 07:09:11 发布
阅读量173 收藏
点赞数
文章标签: oracle 判断数值为小数位数为一位且为0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39735247/article/details/111671211
版权

    更多全球网络安全资讯尽在邑安全

在Oracle官方发布的2020年10月关键补丁更新公告CPU中,包含一个存在于Weblogic Console中的高危远程代码执行漏洞CVE-2020-14882。该漏洞与CVE-2020-14883权限绕过漏洞配合,可以使得攻击者在未经身份验证的情况下执行任意代码并接管WebLogic Server Console。

在这篇文章中,我们首先来看看CVE-2020-14882代码执行漏洞。而后续下一篇文章,我将深入的分析下CVE-2020-14883权限绕过漏洞,并说明二者是如何配合使用的。

CVE-2020-14882

首先我们来研究下Weblogic Console HTTP协议远程代码执行漏洞。这个漏洞影响范围广:影响范围包含了Oracle Weblogic Server10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0这几个版本。

网上关于这个漏洞的分析报告,多数是以Weblogic12版本展开的,10版本与12版本下的漏洞触发点相同点,但利用链不同。所以我在这里就拿Weblogic 10.3.6.0.0版本,对这个漏洞进行分析。

按照惯例,我们从CVE-2020-14882相关漏洞细节入手,看看能不能还原出poc。

关于CVE-2020-14882的漏洞详情如下:

“结合 CVE-2020-14883 漏洞,远程攻击者可以构造特殊的 HTTP请求,在未经身份验证的情况下接管 WebLogic Server Console ,并在 WebLogic Server
Console 执行任意代码。”

从描述上来看,CVE-2020-14883是权限绕过漏洞,而CVE-2020-14882是后台代码执行漏洞。我们要是想利用CVE-2020-14882。因此我们可以得到如下两个信息:

  1. 攻击是通过向后台发送HTTP请求实现的

  2. CVE-2020-14882须要有后台管理员权限

在此之外,我们还通过一些披露可以知道:

本次漏洞实际执行点位于com/bea/console/handles/HandleFactory.class中的getHandle方法下图红框处

2c9779bcc4b1e5e5edc4114b0b99a0d8.png

下面我们就试着还原一下这个漏洞:

首先我们先以后台管理员的身份,访问一下后台地址

http://localhost:7001/console/console.portal?_nfpb=true&_pageLabel=HomePage1

在我们的请求发送到Weblogic服务器后,程序会执行到com/bea/console/utils/BreadcrumbBacking.class,并调用其中init方法,见下图

b7845c39bec198a044303c8ca7545f4d.png

BreadcrumbBacking翻译过来大概是面包屑导航支持的意思。从笔者的理解来看,上图这里应该是Weblogic用来解析传入的url的作用。

我们继续看init方法

public void init(HttpServletRequest req, HttpServletResponse res) {if (req.getParameter(NO_BC) == null) {...String handleStr = this.findFirstHandle(req);if (this.handle == null && handleStr != null && !handleStr.equals("")) {try {this.handle = HandleFactory.getHandle(handleStr);String name = this.handle.getDisplayName();req.getSession().setAttribute(BREADCRUMB_CONTEXT_VALUE, name);} catch (Exception var6) {}}this.dispatchedValue = (BCValue)req.getSession().getAttribute(DISPATCHED_BREADCRUMB);}}

上面节选了init方法中的一块代码片段,为什么要节选这个片段呢?原因很简单:这块代码段里多次出现了”Handle”字眼,这意味着代码涉及到从请求(req)中获取与Handle相关的操作。而代码中也存在着”HandleFactory.getHandle(handleStr);”

回顾上文,本次漏洞实际执行点不正是位于com/bea/console/handles/HandleFactory.class中的getHandle方法中吗?

看来漏洞入口被我们找到了,下面来看看怎么建立一条从url到漏洞入口的道路,重点分析如下代码

6a6223010dbef977bebef380ff946fae.png

从上图可见,如果想执行69行的this.handle = HandleFactory.getHandle(handleStr);进入漏洞触发点,首先要满足67行的this.handle == null && handleStr != null && !handleStr.equals("")条件

而String类型的handleStr变量是从66行处的this.findFirstHandle(req)获取到的看看weblogic如何从请求中获取handle

public String findFirstHandle(HttpServletRequest request) {String handle = null;Enumeration parms = request.getParameterNames();while(parms.hasMoreElements()) {String parmName = (String)parms.nextElement();String parm = request.getParameter(parmName);if (LOG.isDebugEnabled()) {LOG.debug("Looking at parameters = " + parmName);if (parmName.toLowerCase().indexOf("password") == -1 && parm.toLowerCase().indexOf("password") == -1) {LOG.debug("Looking at parm value = " + parm);} else {LOG.debug("Looking at parm value = ************");}}if (this.currentUrl.getParameter(parmName) == null) {this.currentUrl.addParameter(parmName, parm);}if (parmName.indexOf(REQUEST_CONTEXT_VALUE) != -1) {handle = parm;}}return handle;}

findFirstHandle方法将会遍历请求中所有参数名以及参数值,随后通过如下代码判断参数名是否为”
handle”,代码如下:

if (parmName.indexOf(REQUEST_CONTEXT_VALUE) != -1) {handle = parm;}

这里的REQUEST_CONTEXT_VALUE值为”handle”,见下图:

13ad62f28c7b2ca7b11789b15b784706.png

当请求参数中有名为handle的参数时,findFirstHandle会将该参数的值进行返回。我们动态调试一下,看看分析的对不对,构造如下url:

http://localhost:7001/console/console.portal?_nfpb=true&_pageLabel=HomePage1&handle=熊本熊本熊

6d5616a219485926172efe82b039e7c7.png

可见findFirstHandle将”熊本熊本熊”字符串返回

回到init方法中,findFirstHandle将返回的url中handle参数值传递给handleStr变量,见下图66行

e5b09a75d93f2d6728db21b6e246445f.png

handleStr变量进入67行if分支,并传递给漏洞执行点getHandle方法中

getHandle方法中代码如下:

public static Handle getHandle(String serializedObjectID) {if (StringUtils.isEmptyString(serializedObjectID)) {throw new InvalidParameterException("No serialized object string specified");} else {serializedObjectID = serializedObjectID.replace('+', ' ');String serialized = HttpParsing.unescape(serializedObjectID, "UTF-8");int open = serialized.indexOf(40);if (open < 1) {throw new InvalidParameterException("Syntax error parsing serializedObjectID string: " + serialized);} else {String className = serialized.substring(0, open);String objectIdentifier = serialized.substring(open + 2, serialized.length() - 2);try {Class handleClass = Class.forName(className);Object[] args = new Object[]{objectIdentifier};Constructor handleConstructor = handleClass.getConstructor(String.class);return (Handle)handleConstructor.newInstance(args);} catch (ClassNotFoundException var8) {throw new InvalidParameterException("No handle class found for type: " + className);} catch (Exception var9) {throw new InvalidParameterException("Unable to instanciate handle type: " + className, var9);}}}}

其实这里的内容很简单,让我们换一个poc,大家就会很清晰的了解getHandle的功能以及为什么可以造成代码执行漏洞。我们这里更换的poc如下:

http://localhost:7001/console/console.portal?_nfpb=true&_pageLabel=HomePage1&handle=java.lang.String("kumamon.fun")

此时传入getHandle的变量为String类型的字符串:java.lang.String("kumamon.fun"),见下图

31a93f26c0c5f9199899963f0c4189bd.png

接着getHandle方法判断字符串中左括号“(”的位置。(左括号ascii码值为40),见下图

31a93f26c0c5f9199899963f0c4189bd.png

紧接着,通过左括号位置,获取className以及objectIdentifier

887756ef7c8c05d0cdf714b4118f6a47.png

这里className为字符串:java.lang.String而objectIdentifier为字符串kumamon.fun

接着程序做了三件事情:

0f8bf3a08d25cfdc7d0fa353205d7c70.png

  1. 通过className获取对应的Class对象

  2. 将String类型的objectIdentifier存入 Object[]数组中

  3. 获取该类的带String类型参数的构造方法

最后,程序调用该带String类型参数的构造方法,实例化一个对象

369144f104d2bfb26f69e339e6dc3720.png

漏洞触发点到此已经分析结束了。回顾上文,当我们构造一个如下url时:

http://localhost:7001/console/console.portal?_nfpb=true&_pageLabel=HomePage1&handle=a("b")

Weblogic将会调用a方法的带String类型参数的构造方法,并将b字符串传入执行

那么我们怎么样才能找到这样一个利用链呢?需要满足恶意类中存在带String类型参数的构造方法、且该构造方法中存在着可以利用的地方,使得我们构造的字符串传入后可以顺利的执行。

POC

不得不说,Weblogic的漏洞往往有着关联,比如说CVE-2019-2725,这个漏洞当时遇到的payload的条件与这次的几乎一样,在CVE-2019-2725漏洞中,廖新喜给出了一个无视jdk版本限制的利用链:

com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext

http://xxlegend.com/2019/04/30/CVE-2019-2725%E5%88%86%E6%9E%90/

但廖大神并没有给出具体的利用方式。详细的Poc构造以及利用可以参考我的这篇文章:

https://kumamon.fun/CVE-2020-14882/

里面利用到的利用链即为:

com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext 这条

f9050c66c511f1c4ec858291c56bd516.png

于此同时,com.bea.core.repackaged.springframework.context.support.ClassPathXmlApplicationContext

与FileSystemXmlApplicationContext相同,都是继承了AbstractXmlApplicationContext类,因此ClassPathXmlApplicationContext这条也是可用的

e5c07cca6eca5e857c28d30ff4d1fc65.png

写在最后

本来想将CVE-2020-14882、CVE-2020-14883放到一篇文章中来介绍,但奈何CVE-2020-14883这个漏洞中内容也挺多的,放在一块文章太长了。写的多不如写的细,因此把他们分开成为两个文章。

后续关于FileSystemXmlApplicationContext这条利用链是如何构造的,我也想写一篇文章详细的谈谈,希望大家喜欢。

原文来自:先知社区

原文链接:https://xz.aliyun.com/t/8470

欢迎收藏并分享朋友圈,让五邑人网络更安全

8ec51f46a9977b7b052e855fa96b553a.png

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!

推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 

weixin_39735247
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Oracle中关于处理小数点位数的几个函数,取小数位数,Oracle查询函数
凯旋
12-30 5万+
关于处理小数点位数的几个oracle函数()1. 取四舍五入的几位小数select round(1.2345, 3) from dual;结果:1.2352. 保留两位小数,只舍select trunc(1.2345, 2) from dual;结果:1.23select trunc(1.2399, 2) from dual;结果:1.233.取整数返回大于或等于x的最大整数:          SQL>         select         ceil(23.33)         from    
weblogic Weblogic WLS组件漏洞处置 补丁10.3.6.0.0升级10.3.6.0.12
01-09
文件中有两个patch需要打,然后有测试工具和补丁教程可以参看
oracle 判断是否小数,Oracle 判断是否数字型(金额型)
weixin_30925033的博客
04-03 5359
在sql server,校验数据是否数字型比较容易,有提供的方法可以使用:ISNUMERIC当是数字型,方法返回值为1;否则返回值为0例:select * from tablename where isnumeric(data) = 1在Oracle中没有这样的方法,要实现判断是否数字型需要自己写一个方法来实现。但也可以用其它方法:方法一,用正则的方法:使用 regexp_like例:sele...
python中循环表达_Python的循环、判断和各种表达式(长文系列第二篇)
weixin_39547158的博客
12-10 421
流程控制是python语法很重要的一个分支,主要包括我们经常用到的判断语句、循环语句以及各种表达式,这也是上一篇文章没有介绍表达式的原因,在这篇文章中会更加系统全面的讲解这三方面的基础知识。判断语句(if)判断语句中最有名的应该就是if-else的组合,并且很多语言都通用这种格式,但是对于elif而言,不同语言表达形式可能会不同:In [1]: x = 5In [2]: if x>0:......
oracle 判断数值小数位数为一位且为0_excel图文教程:常用数值取舍方法汇总...
weixin_39855706的博客
12-14 328
编按:哈喽,大家好!说到excel中关于数值取舍的方法,可能很多小伙伴都不怎么在意,总觉得不就是对数值进行四舍五入或者是取整吗,用处又不大,有什么好讲的。nonono!数值的取舍远远不止这些,并且它们在工作中用处可大了,比如计算工龄,用于货币单位的转化等等,今天我们就一起来好好认识认识它们吧!学习更多技巧,可以收藏部落窝教育excel图文教程。当计算结果为小数时,我们通常会对其小数位进行取舍,以得...
Weblogic10.3.6.0补丁包(含补丁安装说明).zip
08-19
Weblogic 10.3.6 2019年7月16日集成补丁包(p29633432_1036_Generic_20190716.zip),补丁名称:MXLE,下载文件中包含补丁安装说明和方法(自用详细步骤)。服务器打补丁前请注意做好备份,若与旧的补丁冲突,需卸载...
weblogic 11g补丁2021年10月(10.3.6.0.211019.rar)
12-15
2021年10月发布的WebLogic 10.3.6.0.211019补丁集是针对这个版本的一次重要更新,旨在提升系统性能、增强安全性并修复已知问题。 补丁集更新(Patch Set Update, PSU)是Oracle针对其产品提供的常规维护更新,包含...
weblogic 10.3.6.0 210119.rar
03-30
WebLogic Server 10.3.6.0Oracle 公司提供的一个企业级 Java 应用服务器,它主要用于构建、部署和管理基于Java EE(Java Platform, Enterprise Edition)的应用程序。这个版本发布于2011年,是WebLogic Server ...
WEBLOGIC 10.3.6.0.210119 - 2021年1月补丁
01-20
2021年1月19日,Oracle发布了一项重要的安全更新,即WEBLOGIC 10.3.6.0.210119补丁,该补丁针对WebLogic Server的多个潜在安全漏洞进行了修复,确保了系统的稳定性和安全性。 这个补丁主要关注的是WebLogic Server...
weblogic10.3.6.0 补丁包-编码21Y4
最新发布
04-03
WebLogic Server 10.3.6.0WebLogic Server的一个稳定版本,发布于2012年。这个版本支持Java EE 5和6标准,包括EJB 3.0/3.1、JSF 1.2/2.0、JPA 1.0/2.0等。它还引入了对OSGi模块化支持,提升了性能和可扩展性。 2...
oracle函数(关于处理小数点位数)
zhengyeqing520的专栏
01-05 624
       1.返回大于或等于x的最大整数:   <br />        SQL>         select         ceil(23.33)         from         dual;   <br />    <br />        CEIL(23.33)   <br />        -----------   <br />                          24   <br />    <br />       2. 返回等于或小于x的最大整数:   <
oracle取较小数,oracle小数位
weixin_33594971的博客
04-12 2192
select ltrim('124532.62879'-floor('124532.62879'),'0.') from dual;select length(66695)from dual;这两条SQL结合起来,就可以查询出小数点后边部分的小数位数、在Oracle中很经典,也很实用!下面这个做法也还是经典(推荐使用):比如有一张表的某字段是 number(10,4)的,但是大多数是3位小数,如...
oracle计算小数点位数,Oracle中关于处理小数点位数的几个函数
weixin_28839439的博客
04-02 1345
关于处理小数点位数的几个Oracle函数()1. 取四舍五入的几位小数select round(1.2345, 3) from dual;结果:1.2352. 保留两位小数,只舍select trunc(1.2345, 2) from dual;结果:1.23select trunc(1.2399, 2) from dual;-结果:1.233.取整数返回大于或等于x的最大整数:SQL>...
oracle 获取小数点位数,Oracle中关于处理小数点位数的几个函数
weixin_31320437的博客
04-04 1582
关于处理小数点位数的几个oracle函数()1. 取四舍五入的几位小数select round(1.2345, 3) from dual;结果:1.2352. 保留两位小数,关于处理小数点位数的几个Oracle函数()1. 取四舍五入的几位小数select round(1.2345, 3) from dual;结果:1.2352. 保留两位小数,只舍select trunc(1.2345, 2) ...
Java基础27--mysql-单行函数
renVictory的博客
10-13 229
Java基础27– 视频—可视化工具
oracle查询小数位数大于两位,Oracle数据库之Oracle中关于处理小数点位数的几个函数,取小数位数,Oracle查询函数...
weixin_30631569的博客
04-03 2956
本文主要向大家介绍了Oracle数据库之Oracle中关于处理小数点位数的几个函数,取小数位数,Oracle查询函数,通过具体的内容向大家展现,希望对大家学习Oracle数据库有所帮助。关于处理小数点位数的几个oracle函数()1.取四舍五入的几位小数selectround(1.2345,3)fromdual;结果:1.2352.保留两位小数,只舍selecttrunc(1.234...
oracle查询保留小数点后三位,关于Oracle中查询的数字值的显示格式需要保留小数点后两位(或者三位,及其他位数)...
weixin_39611208的博客
04-03 891
关于Oracle中查询的数字值的显示格式需要保留小数点后两位(或者三位,及其...方法一:使用to_char的fm格式,即:to_char(round(data.amount,2),'FM9999999999999999.00') as amount不足之处是,如果数值是0的话,会显示为.00而不是0.00。另一需要注意的是,格式中小数点左边9的个数要够多,否则查询的数字会显示为n个符号“#”。解...
oracle小数保留问题
wang0928007的专栏
08-03 1287
最近公司有个业务清单提取需求,需要使用百分率,保留2位小数,其实只用round就可以实现(round(_data,2) ),但是格式不是很工整,对格式要求不严谨的情况下使用round即可,以下是网络搜索到的处理方法:   方法一:使用to_char的fm格式,即:   to_char(round(data.amount,2),'FM9999999999999999.00') as am
weblogic10.3.6.0升级补丁
07-28
1. 下载补丁:访问 Oracle 官方网站,找到 WebLogic 10.3.6.0 的升级补丁,下载适合您的操作系统和架构的补丁文件。 2. 备份配置和应用:在开始升级之前,建议先备份当前的 WebLogic 配置文件和应用程序,以防止...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值