Weblogic12c T3 协议安全漏洞分析【CVE-2020-14645 && CVE-2020-2883 && CVE-2020-14645】

给个关注？宝儿！
给个关注？宝儿！
给个关注？宝儿！
关注公众号：b1gpig信息安全，文章推送不错过
## 前言
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件。 主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 近几年频繁爆发出多个RCE漏洞，而在今年，其T3协议被频繁攻击和发布补丁与绕过，本文主要对今年来由T3协议入口所产生的多个RCE漏洞进行分析，其中主要包括CVE-2020-2555、 CVE-2020-2883(bypass CVE-2020-2555补丁)、 CVE-2020-14645 (bypass CVE-2020-2883补丁)。

环境搭建

两种搭建环境，第一种是利用docker搭建环境，利用IDEA动态调试，可参考[1]，本文调试建议使用Weblogic Server版本12.2.1.4.0，对于该版本的docker文件在https://hub.docker.com/_/oracle-weblogic-server-12c?tab=reviews。
第二种是在官方下载安装包[2]，并安装安装指引进行安装[3]。
我们采用第二种进行。在Oracle官网下载后进行安装。

java.exe -jar C:\Users\Administrator\Desktop\fmw_12.2.1.4.0_wls_lite_generic.jar

安装完后导入IDEA再进行配置即可。

漏洞版本

CVE-2020-2555 && CVE-2020-2883(bypass CVE-2020-2555补丁)

10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0

CVE-2020-14645 (bypass CVE-2020-2883补丁)

12.2.1.4.0**

漏洞成因

简单理解该漏洞成因便是Weblogic 默认开启 T3 协议，攻击者可利用T3协议进行反序列化漏洞实现远程代码执行。
基于代码的漏洞介绍：CVE-2020-2555主要源于在coherence.jar存在着用于gadget构造的类（反序列化构造类），并且利用weblogic默认存在的T3协议进行传输和解析进而导致weblogic服务器反序列化恶意代码最后执行攻击语句。

T3协议

WebLogic Server 中的 RMI 通信使用 T3 协议在 WebLogic Server 和其他 Java 程序（包括客户端及其他 WebLogic Server 实例）间传输数据。

同时T3协议包括
1.请求包头 2. 请求主体

因此，在T3数据包构造过程中，需要发送两部分的数据

• List item

请求包头，形如

t3 12.2.1 AS:255 HL:19 MS:10000000 PU:t3://localhost:7001 LP:DOMAIN 1

以\n结束

• 同时，我们发送t3的请求包，可用于刺探服务器weblogic版本，该服务器会将自身版本进行响应，形如

HELO:12.1.3.0 false AS:2048 HL:19 MS:10000000

• 序列化数据部分，序列化部分的构成方式有两种：

第一种生成方式为，将weblogic发送的JAVA序列化数据的第二到九部分的JAVA序列化数据的任意一个替换为恶意的序列化数据。

第二种生成方式为，将weblogic发送的JAVA序列化数据的第一部分与恶意的序列化数据进行拼接。
具体T3的数据结构可参考http://drops.xmd5.com/static/drops/web-13470.html，这里我们不关注T3具体数据结构，而是将重心放在T3的反序列化漏洞上。

• 综上，为实现T3协议的JAVA序列化包，需要在T3数据结构头部发送后在其中插入序列化恶意数据，该恶意数据与JAVA的原生ObjectOutputStream数据类型是一样的，然后发送T3数据结构尾部。

CVE-2020-2555

由于CVE-2020-2883是对2555补丁的绕过，我们先看看原来的CVE-2020-2555利用链。

BadAttributeValueExpException.readObject()
com.tangosol.util.filter.LimitFilter.toString() //CVE-2020-2555出现时 对此进行了修补
com.tangosol.util.extractor.ChainedExtractor.extract()
com.tangosol.util.extractor.ReflectionExtractor().extract()
Method.invoke()
//...
com.tangosol.util.extractor.ReflectionExtractor().extract()
Method.invoke()
Runtime.exec()

我们使用12.2.1.4.0对此进行调试。
根据已知的一些漏洞信息

漏洞的产生点是 coherence.jar 包中的 LimitFilter 函数，我们将相关漏洞包coherence.jar和tangsol.jar 添加到库函数并反编译add as library

在server\lib\console-ext\autodeploy\tangosol.jar!\com\tangosol\util\filter\LimitFilter.class#toString下一些断点，调试并发送POC。

根据堆栈信息，Weblogic收到POC的数据后，对其进行分发后对T3的数据段部分进行了反序列化还原操作，进而产生了该漏洞的入口。

利用 BadAttributeValueExpException类实例可以用来调用任意类的**toString()**方法 ，这里可能有小伙伴会好奇，为什么这个类的实例能调用在任意类的toString()方法？原因如下：

利用 java.io.ObjectInputStream反序列化一个类时会默认调用该类的readObject方法。

javax.management.BadAttributeValueExpException#readObject方法会对传入的ObjectInputStream实例提取其val属性的值(这也是为什么我们要将恶意对象注入到val属性)。

然后将该值进行判断（valObj受到我们的控制，就是我们注入val属性的对象），我们需要进入的是val = valObj.toString();进而调用控制的valObj对象的toString方法：

这里的System.getSecurityManager需要为null才会进入toString逻辑。
因此我们可以操控valObj成为任意对象并对让其使用toString方法，这里我们选择的恶意宿主是LimitFilter类，原因如下：
了解到LimitFilter类会被我们操作执行toString方法，其toString方法存在如下操作
注意到在LimitFilter.class#toString方法中， 获取到该类的m_comparator成员属性后，转换为(ValueExtractor)对象并调用自身extract方法 ：

这里可能会有疑问，如何去控制m_comparator成员属性呢？因为这个类其实就是我们自己写的恶意类，当然可以控制其成员属性了。

到这里，我们就可以控制我们构造的恶意类里面m_comparator成员的extract方法了，而m_comparator成员可控。因此我们可以控制任意类的extract方法了。而后我们选取的利用类是com.tangosol.util.extractor.ChainedExtractor#extract，因为它的extract方法是这样的，该方法会将this.getExtractors返回的数组依次调extract并返回给oTarget：
this.getExtractors方法继承自AbstractCompositeExtractor，返回成员属性this.m_aExtractor
而这个this.m_aExtractor则来自原始方法AbstractCompositeExtractor()，即是初始化该示例的时候传入的：

那么可以理解为，com.tangosol.util.extractor.ChainedExtractor类会依次对 初始化实例时调用传入的ValueExtractor[]类型的列表 调用extract方法。

至此我们便有了调用多个对象extract的能力。

又是一个疑问，这里都是调用extract方法，怎么才能从extract到Runtime.getRuntime.exec() ****的调用呢？答案是反射。如果我们可以找到一个类，该类的extract方法可控并且传入参数会被顺序进行反射，那么就可以通过控制extract和传入参数进行RCE了。这个类是com.tangosol.util.extractor.ReflectionExtractor#extract

**反射的形式这里不细讲了，有兴趣的可以参考[4]
这里需要形成需要被调用的方法.invoke(被调用类class, 执行的代码)。
诸如

***.invoke(***,new String[]{
   "cmd","/c","calc"}

//用String.class.getClass().forName("java.lang.Runtime"))还原调用类class
***.invoke(String.class.getClass().forName("java.lang.Runtime")),new String[]{
   "cmd","/c","calc"}

//用String.class.getClass().forName("java.lang.Runtime").getMethod("getRuntime")构造method
//这里相当于java.lang.Runtime.getRuntime(new String[]{"cmd","/c","calc")
String.class.getClass().forName("java.lang.Runtime").getMethod("getRuntime").invoke(String.class.getClass().forName("java.lang.Runtime")),new String[]{
   "cmd","/c","calc"}

//再调一层反射获取exec
//String.class.getClass().forName("java.lang.Runtime").getMethod("exec",String.class)
String.class.getClass().forName("java.lang.Runtime").getMethod("exec",String.class)
.invoke(被调用类class, 执行的代码);

//完整反射
String.class.getClass().
forName("java.lang.Runtime")
.getMethod("exec",String.class)
.invoke(
String.class.getClass().forName("java.lang.Runtime").
getMethod("getRuntime").
invoke(String.class.getClass().forName("java.lang.Runtime"))
,new String[]{
   "calc"}
);

然后利用com.tangosol.util.extractor.ReflectionExtractor#extract进行传入构造再invoke。
综上，我们构造如下代码片段。

POC逻辑

1.组装ReflectionExtractor成为列表赋值给valueExtractors（ReflectionExtractor有反射的extract函数）。

2.然后通过放入ChainedExtractor(列表依次extract) (ChainedExtractor有列表extract函数)。