WebLogic CVE-2019-2647、CVE-2019-2648、CVE-2019-2649、CVE-2019-2650 XXE漏洞分析

最新推荐文章于 2021-05-08 15:14:51 发布
最新推荐文章于 2021-05-08 15:14:51 发布
阅读量968 收藏
点赞数
分类专栏: 漏洞 晓得哥的技术之路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44058342/article/details/89764763
版权
本文详细分析了WebLogic 10.3.6.0中的多个XXE漏洞,包括CVE-2019-2647、CVE-2019-2648、CVE-2019-2649和CVE-2019-2650。作者通过对比补丁,发现了这些漏洞的关键点,并分享了PoC构造过程和环境搭建经验。文章探讨了在反序列化过程中如何利用XML External Entity(XXE)漏洞,并展示了如何通过修改类文件来触发漏洞。
摘要由CSDN通过智能技术生成

@xxlegend在《Weblogic CVE-2019-2647等相关XXE漏洞分析》分析了其中的一个XXE漏洞点,并给出了PoC。刚入手java不久,本着学习的目的,自己尝试分析了其他几个点的XXE并构造了PoC。下面的分析我尽量描述自己思考以及PoC构造过程,新手真的会踩很多莫名其妙的坑。感谢在复现与分析过程中为我提供帮助的小伙伴@Badcode,没有他的帮助我可能环境搭起来都会花费一大半时间。

补丁分析,找到漏洞点

根据JAVA常见XXE写法与防御方式(参考https://blog.spoock.com/2018/10/23/java-xxe/),通过对比补丁,发现新补丁以下四处进行了setFeature操作:

应该就是对应的四个CVE了,其中ForeignRecoveryContext@xxlegend大佬已经分析过了,这里就不再分析了,下面主要是分析下其他三个点

分析环境

Windows 10
WebLogic 10.3.6.0
Jdk160_29(WebLogic 10.3.6.0自带的JDK)
WsrmServerPayloadContext 漏洞点分析

WsrmServerPayloadContext修复后的代码如下:

package weblogic.wsee.reliability;
import ...

public class WsrmServerPayloadContext extends WsrmPayloadContext {
    public void readExternal(ObjectInput var1) throws IOException, ClassNotFoundException {
        ...
        }

    private EndpointReference readEndpt(ObjectInput var1, int var2) throws IOException, ClassNotFoundException {
        ...

        ByteArrayInputStream var15 = new ByteArrayInputStream(var3);

        try {
            DocumentBuilderFactory var7 = DocumentBuilderFactory.newInstance();

            try {
                String var8 = "http://xml.org/sax/features/external-general-entities";
                var7.setFeature(var8, false);
                var8 = "http://xml.org/sax/features/external-parameter-entities";
                var7.setFeature(var8, false);
                var8 = "http://apache.org/xml/features/nonvalidating/load-external-dtd";
                var7.setFeature(var8, false);
                var7.setXIncludeAware(false);
                var7.setExpandEntityReferences(false);
            } catch (Exception var11) {
                if (verbose) {
                    Verbose.log("Failed to set factory:" + var11);
                }
            }

       ...
    }

}
可以看到进行了setFeature操作防止xxe攻击,而未打补丁之前是没有进行setFeature操作的

readExternal在反序列化对象时会被调用,与之对应的writeExternal在序列化对象时会被调用,看下writeExternal的逻辑:

var1就是this.formENdpt,注意var5.serialize可以传入三种类型的对象,var1.getEndptElement()返回的是Element对象,先尝试新建一个项目构造一下PoC:

结构如下

最低0.47元/天 解锁文章
晓得哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
p29814665_122130_Generic.zip
08-23
WebLogic12.2.1.3补丁 p29814665_122130 该补丁合集修复了下面新增的安全漏洞: 29585099 THE BACKPORT OF 27057023 CONTAINS AN ERROR 23071867 AGL DS XA AFFINITY NOT HONORED IN SOME TX LOCAL RESOURCE ASSIGNMENT SCENARIOS 29448643 JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED 29671623 CVE-2019-2725 26403575 CVE-2016-7103 29667975 CVE-2019-2824 29726561 CVE-2019-2729 29701537 CVE-2019-2827 1.2 Oracle WebLogic 12.1.3.0.190716 该补丁合集修复了下面新增的安全漏洞: 29667975: CVE-2019-2824 29671623: CVE-2019-2725 26403575: CVE-2016-7103 29701537: CVE-2019-2827 29870012: WLDATASOURCE.GETCONNECTIONTOINSTANCE(STRING INSTANCE) CAN FAIL IF NO CONNECTIONS TO INSTANCE HAVE BEEN PROCESSED 29448643: JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED 29312272: WSDL ERROR MUST ATTRIBUTE 'NAME' NOTFOUND IN ELEMENT 'BINDING 23071867: AGL DS XA AFFINITY NOT HONORED IN SOME TX LOCAL RESOURCE ASSIGNMENT SCENARIOS 29726561: CVE-2019-2729 1.3 Oracle WebLogic 12.2.1.3.190522 该补丁合集修复了下面新增的安全漏洞: 25369207: JAVA.LANG.OUTOFMEMORY ERROR HAPPENS WHEN INITIALIZING AN APPLICATION 29338121: CVE-2019-2799 29448643: JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED 29312272: WSDL ERROR MUST ATTRIBUTE 'NAME' NOTFOUND IN ELEMENT 'BINDING 26987594: ALLOW SUPRESSING CROSS COMPONENT WIRING PROCESSING DURING PROVISIONING 27010571: <INCOMING MESSAGE HEADER OR ABBREVIATION PROCESSING FAILED 26075541: .APPMERGEGEN_$DIGIT DIR REMAIN EVERY TIME BY DEPLOYING A EAR ON WLS 12.2.1 27823500: REGRESSION BUG WHICH INTRODUCED BY THE BUG FIXING OF 27678101 27248932: TRACKING BUG FOR 26941603 FOR WLS 25294832: WLS 12.2.1.2 DEPLOYMENT ERRORSMETHOD _JSPSERVICE EXCEEDS 65535 BYTES LIMIT 26131085: IMPROVE CORRUPT STORE RECOVERY 27659077: JSPS ARE GETTING RECOMPILED ON EVERY REQUEST 26403575: CVE-2016-7103 29667975: CVE-2019-2824 28278427: VERSION ADDED TWICE WHEN SAVING A SECURITY POLICY 29726561: CVE-2019-2729 29701537: CVE-2019-2827 29411629: CVE-2019-2856 29789769: FIXED AN ISSUE WITH XML
漏洞复现】1. WebLogic 反序列化漏洞(CVE-2019-2890)复现与分析
最新发布
Zichel77的博客
03-21 1732
2019年10月15日,Oracle官方发布了2019年10月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞漏洞编号为CVE-2019-2890。Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单,使攻击者可以通过T3协议对存在漏洞Weblogic组件实施远程攻击。
web漏洞之中间介漏洞
小白的博客
05-08 610
IIS 解析漏洞 IIS6.x 基于文件名 将 *.asp;.jpg 此种格式的文件名,当成asp解析, 原理:服务器默认不解析; 号及其后面的内容,相当于截断。 基于文件夹名 将 *.asp/目录下的所有文件当成asp解析 其他 默认会将扩展名为.asa,.cdx,.cer解析为asp 漏洞修复 限制上传目录执行权限,不允许执行脚本 不允许新建目录。 上传的文件需经过重命名(时间戳+随机数+.jpg等) IIS7.x 漏洞描述 CGI运行模式 CGI即通用网关接口(Common Gat
WebLogic CVE-2019-2647~2650 XXE漏洞分析
cp15191163199的博客
05-06 635
Oracle发布了4月份的补丁,详情见链接( https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html#Appen...
oracle安全更新,Oracle 2019年4月重要安全补丁更新公告风险预警
weixin_32676541的博客
04-05 812
近日,安全中心监测到 Oracle 近日发布了2019年4月安全更新公告,此次更新修复了包括Java SE、MySQL及WebLogic等在内的多个组件的安全漏洞。为避免您的业务受影响,安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。【漏洞详情】Oracle近日发布了4月安全漏洞公告,此次更新修复了包括Java SE、MySQL及WebLogic等在内的...
Weblogic xxe漏洞复现及攻击痕迹分析CVE-2019-2647
一个安全研究员
05-05 5973
如题
Weblogic-CVE-2019-2725补丁升级方法.docx
11-08
Weblogic-CVE-2019-2725补丁升级方法详解》 WebLogic Server是一款由甲骨文公司开发的企业级应用服务器,它为构建、部署和管理企业级Java应用程序提供了全面的平台。然而,随着技术的发展,安全漏洞的出现是不可...
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .txt
06-27
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .网上几乎没有,请珍惜。
WebLogic CVE-2019-2725补丁.zip
07-16
weblogic反序列化补丁包
关于WebLogic Server WLS核心组件存在反序列化漏洞的安全公告
05-07
安全公告编号:CNTA-2018-0015,漏洞影响范围 根据官方公告情况,该漏洞的影响版本如下: WebLogic10.3.6.0 WebLogic12.1.3.0 WebLogic12.2.1.2 WebLogic12.2.1.3 、临时修复建议:通过设置weblogic.security.net.ConnectionFilterImpl默认连接筛选器,对T3/T3s协议的访问权限进行配置,阻断漏洞利用途径。 2、美国甲骨文公司已发布了修复补丁,建议及时更新至最新版本:http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html。
weblogic cve_2019_2729.rar
10-10
Oracle WebLogic Server Patch Set Update 10.3.6.0.190716 README ============================================================== This README provides information about how to apply Oracle WebLogic Server Patch Set Update 10.3.6.0.190716. It also provides information about reverting to the original version. Released: July, 2019 Smart Update Details of Oracle WebLogic Server Patch Set Update 10.3.6.0.190716 -------------------------------------------------------------------------- Patch ID - MXLE Patch Number - 29633432 Preparing to Install Oracle WebLogic Server Patch Set Update 10.3.6.0.190716
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
weblogic预警及历史漏洞
a1b2c3是弱口令
10-17 1245
简介 1、 Oracle WebLogic CVE-2019-2891 漏洞预警 2、WebLogic历史漏洞回顾 1.预警 Oracle 官方发布了 2019 年 10 月的严重补丁更新 CPU(Critical Patch Update),其中修复了存在于 WebLogic 中的一个高危漏洞CVE-2019-2891)。 1.1预警描述 此漏洞为远程代码执行漏洞,基于全球使用该产品用...
漏洞公告】Oracle WebLogic Server 11g / 12c核心组件漏洞的说明以及详细修复方案(原创)...
weixin_30739595的博客
07-17 1266
- 本文目录 - 1. 补丁集修复漏洞说明 1.1 Oracle WebLogic 10.3.6.0.190716 1.2 Oracle WebLogic 12.1.3.0.190716 1.3 Oracle WebLogic 12.2.1.3.190522 2. WLS 内核组件漏洞说明 3. 漏洞修复方案 3.1 WebLogic 10.3.6....
CVE-2019-2729 WebLogic RCE漏洞白名单补丁分析
systemino的博客
07-04 5970
WebLogic组件介绍 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic是商...
resttemplate 序列化_Weblogic反序列化漏洞CVE-2020-2798,CVE-2020-2801)
weixin_39589644的博客
10-21 498
漏洞概述:Oracle官方发布4月份安全补丁, 补丁中包含启明星辰ADLab发现并第一时间提交给官方的漏洞漏洞编号为CVE-2020-2798和CVE-2020-2801。其中,CVE-2020-2798 CVVS评分为7.2分,CVE-2020-2801漏洞等级为高危,CVVS评分为9.8分。CVE-2020-2798和CVE-2020-2801漏洞都与T3协议反序列化有关,利用漏洞攻击者将生...
weblogic漏洞
公众号shadow sock7
04-25 2191
参考: 最新weblogic漏洞复现 weblogic CVE-2019-2647等相关XXE漏洞分析 环境搭建: 在12.2.1.3版本上访问url发现404了, 使用vulhub之前的docker镜像,10.3.6.0版本: PoC: POST /_async/AsyncResponseService HTTP/1.1 Host: cqq.com:7001 Content-Length: 94...
WebLogic 反序列化漏洞(CVE-2019-2890)
午夜安全
10-20 3296
WebLogic 反序列化漏洞(CVE-2019-2890) 漏洞描述 2019年10月15日,Oracle官方发布了2019年10月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞漏洞编号为CVE-2019-2890。 Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单,使攻击者可以...
Weblogic 漏洞修复指南:CVE-2019-2891 补丁安装步骤
Weblogic Console组件漏洞修复文档详细介绍了针对Weblogic服务器的安全更新过程,特别是针对CVE-2019-2891漏洞的修复。文档涵盖了Weblogic 10.3.6.0和12.1.3.0两个版本的升级和卸载补丁的操作流程,主要在Linux...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值