html 在weblogic 上编译报错,WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

最新推荐文章于 2023-11-09 08:33:28 发布
最新推荐文章于 2023-11-09 08:33:28 发布
阅读量761 收藏
点赞数
文章标签: html 在weblogic 上编译报错

作者:Longofo@知道创宇404实验室

时间:2019年10月16日

原文链接:

这个漏洞和之前@Matthias Kaiser提交的几个XXE漏洞是类似的,而

EJBTaglibDescriptor应该是漏掉的一个,可以参考之前几个XXE的

。我和@Badcode师傅反编译了WebLogic所有的Jar包,根据之前几个XXE漏洞的特征进行了搜索匹配到了这个EJBTaglibDescriptor类,这个类在反序列化时也会进行XML解析。

环境

Windows 10

WebLogic 10.3.6.0.190716(安装了19年7月补丁)

Jdk160_29(WebLogic 自带的JDK)

漏洞分析

weblogic.jar!\weblogic\servlet\ejb2jsp\dd\EJBTaglibDescriptor.class这个类继承自

java\io\Externalizable

58c345c2a8fa470ab4ceacb8e299bb42.png

因此在序列化与反序列化时会自动调用子类重写的

writeExternal与

readExternal

看下

writeExternal的逻辑与

readExternal的逻辑,

8fe47680f28aef1fe260255dc1769284.png

readExternal中,使用

ObjectIutput.readUTF读取反序列化数据中的String数据,然后调用了load方法,

08d07acd3654c8b15e200b634f7c986f.png

在load方法中,使用

DocumentBuilder.parse解析了反序列化中传递的XML数据,因此这里是可能存在XXE漏洞的

writeExternal中,调用了本身的

toString方法,在其中又调用了自身的

toXML方法

b8f19023cb76174af8f4b69c00a4c82c.png

bbe3be4e11f563bbba3fafadfef83bae.png

toXML的作用应该是将

this.beans转换为对应的xml数据。看起来要构造payload稍微有点麻烦,但是序列化操作是攻击者可控制的,所以我们可以直接修改

writeExternal的逻辑来生成恶意的序列化数据:

9b6d69a458cb8d65158c8ed6f22adaac.png

漏洞复现

1、重写

EJBTaglibDescriptor中的

writeExternal函数,生成payload

7ef76649861626585dcdc7502e241cff.png

2、发送payload到服务器

6f75029dd908e60a025a2821778a83a5.png

在我们的HTTP服务器和FTP服务器接收到了my.dtd的请求与win.ini的数据

6e9e4e25a4d9a25ce50b736e393446c6.png

3、在打了7月份最新补丁的服务器上能看到报错信息

b71c38e915afae26919cb446caa64535.png

参考链接:

[1] 分析:

[2]

https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

如需转载请注明来源。

朱国苗
关注
WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)
做自己喜欢的事,并将其发挥到极致!
04-04 1970
文章目录前言一、漏洞概述二、影响版本三、环境搭建四、本地复现五、参考链接 前言 本篇文章仅记录漏洞复现过程,仅供参考,切勿用于非授权下的渗透攻击行为,出现任何后果与本作者无关,切记! 一、漏洞概述 EJBTaglibDescriptor 在反序列化的同时会进行XML解析,通过重写EJBTaglibDescriptor中的writeExternal函数生成恶意的序列化数据。 二、影响版本 WebLogic 10.3.6 三、环境搭建 系统环境:Ubuntu 16.04 (192.168.242.129)
WebLogic CVE-2019-2647、CVE-2019-2648、CVE-2019-2649、CVE-2019-2650 XXE漏洞分析
晓得哥的博客
05-02 1012
@xxlegend在《Weblogic CVE-2019-2647等相关XXE漏洞分析分析了其中的一个XXE漏洞点,并给出了PoC。刚入手java不久,本着学习的目的,自己尝试分析了其他几个点的XXE并构造了PoC。下面的分析我尽量描述自己思考以及PoC构造过程,新手真的会踩很多莫名其妙的坑。感谢在复现与分析过程中为我提供帮助的小伙伴@Badcode,没有他的帮助我可能环境搭起来都会花费一大半时...
CVE-2019-2888:WebLogic EJBTaglibDescriptor XXE扩展(CVE-2019-2888
03-09
CVE-2019-2888 WebLogic EJBTaglibDescriptor XXE漏洞 fernflower.jar weblogic.jar/weblogic/servlet/ejb2jsp/dd/EJBTaglibDescriptor.class ╭─root@jas502n /var ╰─# find ./ |grep EJBTaglibDescriptor  :check_mark:  8388  18:32:43 .//weblogic.jar/weblogic/servlet/ejb2jsp/dd/EJBTaglibDescriptor.class .//weblogic.jar/weblogic/servlet/ejb2jsp/gui
WebLogic的错误编译错误
秋天的专栏
08-06 595
问题1:   weblogic.servlet.jsp.CompilationException: Compilation of C:\bea\user_projects\domains\mydomain\myserver\.wlnotdelete\extract\myserver__appsdir_weboa_dir_weboa\jsp_servlet\__index.java fail...
htmlweblogic编译报错,WebLogic 8.1 部署问题记录
weixin_26854829的博客
06-17 183
1.weblogic 8.1 不支持jdk1.4以上的版本,所以,如果在项目中用jdk1.4以上的版本编译之后的class直接部署到weblogic8.1服务器上会报错报错信息一般包括如下:Class bytes found but defineClass()failed for附上查询的关于这个问题的链接一个,仅供参考:2.关于jdk1.4版本之前自动装箱拆箱的问题,不可以把Integer类型...
weblogic_cve-2019-2888:weblogic_cve-2019-2888
03-09
1)开启XXER工具python xxer.py -H 192.168.17.223 2)将xxer的poc放到xx.xml文件中,替换序列化后的数据,注入xxer的poc; java -jar weblogic_xxe.jar xx.xml 3)使用java-deserialization-exploit工具中的weblogic.py发送数据给weblogic服务器python weblogic.py 192.168.17.222 7001 weblogic
CVE-2018-3246 weblogic xxe
ddr12231的博客
08-27 1764
使用P牛2018-2894的容器 http://192.168.245.130:7001/ws_utc/begin.do 导入测试用例 上传时抓取数据包 POST /ws_utc/resources/ws/config/import?timestamp=1566895391388 HTTP/1.1 Host: 192.168.245.130:7001 Content-Length: ...
java最新漏洞_JavaMelody XXE漏洞(CVE-2018-15531)分析
weixin_30629043的博客
02-25 1675
0x01 背景JavaMelody是一款在生产和QA环境中对JAVA应用以及应用服务器(Tomcat、Jboss、Weblogic)进行监控的工具,可以通过图表给出监控数据,方便研发运维等找出响应瓶颈、优化响应等。近日发布了1.74.0版本,修复了一个XXE漏洞漏洞编号CVE-2018-15531。攻击者利用漏洞,可以读取JavaMelody服务器上的敏感信息。0x02 漏洞分析漏洞修复的com...
[EXP]CVE-2019-9621 Zimbra小于8.8.11 远程代码执行漏洞 XXE GetShell Exploit
K8哥哥
05-08 3308
影响版本: ZimbraCollaboration Server 8.8.11 之前的版本都受到影响。具体来说: Zimbra < 8.7.11 版本中,攻击者可以在无需登录的情况下,实现远程代码执行。 Zimbra < 8.8.11 版本中,在服务端使用 Memcached 做缓存的情况下,经过登录认证后的攻击者可以实现远程代码执行。  GetShell代...
CVE_2020_2546:CVE-2020-2546,CVE-2020-2915 CVE-2020-2801 CVE-2020-2798 CVE-2020-2883 CVE-2020-2884 CVE-2020-2950 WebLogic T3有效负载利用poc python3,
03-20
推特: 1,Weblogic RCE漏洞利用 CVE_2020_2546 CVE-2020-2915 CVE-2020-2801 CVE-2020-2798 CVE-2020-2883 CVE-2020-2884 CVE-2020-2950 WebLogic RCE T3有效载荷利用POC python3 2,利用 GIOP +发送绑定(CVE-2020-2555,CVE-2019-2888CVE-2019-2888 <XXE>或其他) GIOP +发送jta(rmi或其他) GIOP +发送jta + SSRF T3 +发送jta T3 +发送jta + SSRF T3 +发送XXE T3 +发送XXE + SSRF 2.1,rmi服务器,请参阅 不要使用org.mozilla.classfile.DefiningClassLoader 不要使用j
htmlweblogic编译报错,WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2021年06月17日88)分析...
weixin_35647812的博客
06-17 106
作者:Longofo@知道创宇404实验室时间:2021年06月17日2021年06月17日这个漏洞和之前@Matthias Kaiser提交的几个XXE漏洞是类似的,而EJBTaglibDescriptor应该是漏掉的一个,可以参考之前几个XXE分析[1]。我和@Badcode师傅反编译WebLogic所有的Jar包,根据之前几个XXE漏洞的特征进行了搜索匹配到了这个EJBTaglibDes...
红日靶机vulnstack第二关
weixin_45715461的博客
06-18 2771
红日靶机vulnstack第二关
CVE-2019-5786 漏洞原理分析及利用
晓得哥的博客
07-02 1619
CVE-2019-5786 漏洞原理分析及利用 作者:Kerne7@知道创宇404实验室 时间:2020年6月29日 从补丁发现漏洞本质 首先根据谷歌博客收集相关CVE-2019-5786漏洞的资料:High CVE-2019-5786: Use-after-free in FileReader,得知是FileReader上的UAF漏洞。 然后查看https://github.com/chromium/chromium/commit/ba9748e78ec7e9c0d594e7edf7b2c07ea2a90
CVE-2019-2890 Weblogic t3反序列化漏洞分析
Adminxe的博客
05-05 1197
@Adminxe 0x01 漏洞背景 在WebLogic官方发布的10月份安全补丁中,包含了由Venustech ADLab提交的CVE-2019-2890的修复。该漏洞通过T3协议发送恶意的反序列化数据绕过了Weblogic的黑名单,成功反序列化执行任意命令。通过官方公告可知,该漏洞的利用条件是需要认证。 0x02 影响范围 Weblogic 10.3.6.0.0 Weblog...
红队系列-网络安全知识锦囊(持续更新)
最新发布
aming小老弟
11-09 1487
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
web漏洞之中间介漏洞
小白的博客
05-08 636
IIS 解析漏洞 IIS6.x 基于文件名 将 *.asp;.jpg 此种格式的文件名,当成asp解析, 原理:服务器默认不解析; 号及其后面的内容,相当于截断。 基于文件夹名 将 *.asp/目录下的所有文件当成asp解析 其他 默认会将扩展名为.asa,.cdx,.cer解析为asp 漏洞修复 限制上传目录执行权限,不允许执行脚本 不允许新建目录。 上传的文件需经过重命名(时间戳+随机数+.jpg等) IIS7.x 漏洞描述 CGI运行模式 CGI即通用网关接口(Common Gat
mysql漏洞如何打补丁_漏洞治理(漏洞情报)调研报告
weixin_39851457的博客
11-23 1512
君哥有话说漏洞运营和安全资产运营是快速收敛攻击面的最有效的两个措施,需要企业安全建设负责人首要关注,并投入大量精力确保漏洞管理的各项细节落地,包括漏洞发现、漏洞推修、漏洞验证等各个环节,这里面的细节很多,比如覆盖率、漏扫范围、漏扫技术细节(未登陆扫描、被动式扫描)、漏扫类别、漏洞修复方式、不能修的漏洞补偿性措施、漏洞考核、避免历史漏洞重现等等。推荐泉哥的一本书《漏洞战争:软件漏洞分析精要...
java 漏洞挖掘_Java XXE漏洞典型场景分析
weixin_36415835的博客
02-16 1058
本文首发于oppo安全应急响应中心:0x01 前言:XML 的解析过程中若存在外部实体,若不添加安全的XML解析配置,则XML文档将包含来自外部 URI 的数据。这一行为将导致XML External Entity (XXE) 攻击,从而用于拒绝服务攻击,任意文件读取,扫内网扫描。以前对xxe的认识多停留在php中,从代码层面而言,其形成原因及防护措施较为单一,而java中依赖于其丰富的库,导致解...
利用POC检测WebLogic反序列化漏洞CVE-2019-2725
2019年,Oracle WebLogic服务器遭遇了一个严重的反序列化漏洞,即CVE-2019-2725。这个漏洞允许攻击者通过精心构造的恶意请求,利用WebLogic应用程序中的序列化功能来执行任意代码,从而获取系统控制权限。由于其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值
>