前言
想要搞明白weblogicT3协议中的反序列化和后续的反序列化绕过,就得先需要了解weblogic如何处理T3协议中的反序列化数据,了解流程之后再去分析CVE-2015-4852、CVE-2016-0638、CVE-2016-3510这些漏洞,会事半功倍。
weblogic处理反序列化的流程
首先我们看一张流程图,这是weblogic处理反序列化数据的时候的函数调用图
readObject()
readObject0()
readOrdinaryObject()
readClassDesc()
readNonProxyDesc() resolveClass() Class.forName()
readProxyDesc() resolveProxyClass() Proxy.getProxyClass()
截图比较粗糙,其起始位置是我们熟悉的ObjectInputStream类中的readObject方法。下面是一层层调用的函数,在红色框中的resolveClass函数我们很熟悉了,在上篇文章说过,就是weblogic反序列化时重写了这个resolveClass方法,由于只是继承了父类的resolveClass方法,造成了CVE-2015-4852漏洞。
好了我们接着说数据流向:
weblogic获得(7001端口)t3协议的反序列化数据,经过一个个函数的处理来到readClassDesc函数,此时有两个流向(其实不止,下面会讲到),两个分支最后都会获取反序列化数据的类对象。那么这个readClassDesc是什么呢?
readClassDesc是什么
先来看一看readClassDesc函数
上面绿色的官方解释是:读入并返回(可能为 null)类描述符。 将 passHandle 设置为类描述符的分配句柄。 如果类描述符无法解析为本地 VM 中的类,则 ClassNotFoundException 与类描述符的句柄相关联。此翻译来自Google翻译,哈哈。
官方注释比较生涩,我们知道Java序列化的时候,java序列化数据在流量传输,并不是随随便便杂乱无章的,序列化数据的格式是要遵循序列化流协议。
序列化流协议定义了字节流中传输的对象的基本结构。(包括类,字段,写入的数据等)
字节流中对象的表示可以用一定的语法格式来描述。
比如说在字节流中传递的序列化数据中,字符串有字符串类型的特定格式、对象有对象类型的特定格式、类结构有着类结构。而TC_STRING、TC_OBJECT、TC_CLASSDESC则是他们的描述符,他们标识了接下来这段字节流中的数据是什么类型格式的。
这样我们就很容易明白上图中的switch语句中各个case后面字段的意思了,通过字节流中的描述符来确定传递的数据类型&