本文是osword同学的Java安全学习笔记之一,将详细分析Weblogic历史,从CVE-2015至CVE-2019相关历史漏洞入手,记录学习Java反序列化漏洞的心得

CVE-2015-4852

影响版本

Oracle WebLogic Server 12.2.1.0

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 12.1.2.0

Oracle WebLogic Server 10.3.6.0

漏洞原理

测试环境:10.3.6.0 jdk7u21 debian

利用t3协议通信反序列化CC链,简化栈如下。

    InboundMsgAbbrev.readObject() -> ... -> AnnotationInvocationHandler.readObject() -> AnnotationInvocationHandler.invoke() -> LazyMap.get() -> .... -> Runtime.exec()

    漏洞复现

      java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections1 "open /System/Applications/Calculator.app" > "/tmp/tm.ser"python weblogic_t3.py127.0.0.17001 /tmp/tm.ser

      漏洞分析

      关注反序列化中间过程,利用 LazyMap链进行反序列化,载体套用AnnotationInvocationHandler类,this.memberValues可控为LazyMap类。利用代理机制,在执行entrySet方法使用会优先执行invoke方法

      接着触发LazyMap.get方法,this.factory可控Chained-Transformer类,最后反射执行Runtime.getRuntime.exe-c("xxx").

      漏洞修复

      resolveClass拦截反序列化的类,将org.apache.comm-ons.collections.functors添加进黑名单。应用位置如下

        weblogic.rjvm.InboundMsgAbbrev.class ::ServerChannelInputStreamweblogic.rjvm.MsgAbbrevInputStream.classweblogic.iiop.Utils.class

        CVE-2016-0638

        影响版本

        Oracle WebLogic Server 12.2.1.0

        Oracle WebLogic Server 12.1.3.0

        Oracle WebLogic Server 12.1.2.0

        Oracle WebLogic Server 10.3.6.0

        漏洞原理

        测试环境:10.3.6.0 jdk7u21 debian

        利用StreamMessageImpl封装的CommonsCollecti-ons1恶意利用链,使恶意类反序列化在StreamMessageI-mpl.readExternal中进行,不在weblogic.rjvm.Inbo-undMsgAbbrev.class :: ServerChannelInputStream中反序列化,以此绕过补丁

        漏洞复现

        重写writeExternal类,以此构造出符合readExternal反序列化的数据流。exp.getObject就是CommonsCollecti-ons1最终构造的对象。如下图,执行弹个计算器。

        漏洞分析

        StreamMessageImpl.readExternal中调用readObject反序列化数据流.针对var1反序列化的条件有

        1. 判断读取的第一个字节是否为1

        2. PayloadFactoryImpl.ceatePaload方法中需要读取到var1(恶意类数据流)的长度.

        所以依据此我们可以进行StreamMessageImpl.write-External进行重写.

        var3.writeObject(exp.getObject());// 传入CommonsCollections1

        var1.writeByte(1);// 第一个字符写入字符1

        var1.writeInt(var5.length);// 写入恶意类数据流长度

        CVE-2016-3510

        影响版本

        Oracle WebLogic Server 12.2.1.0

        Oracle WebLogic Server 12.1.3.0

        Oracle WebLogic Server 12.1.2.0

        Oracle WebLogic Server 10.3.6.0

        漏洞原理

        MarshalledObject调用构造方法中存在序列化操作,且该对象中存在readResolve方法能够在反序列化时被调用且反序列化数据流可控.

        漏洞复现

        漏洞分析

        跟进MarshalledObject.readResolve方法.其中对this.objBytes调用readObject方法反序列化

        回溯如何构造this.objBytes,发现是在创建Marsha-lledObject对象时候,可以直接插入恶意类生成序列化数据流

        CVE-2019-2890

        影响版本

        WebLogic Server 10.3.6.0

        WebLogic Server 12.1.3.0

        WebLogic Server 12.2.1.3

        漏洞原理

        PersistentContext在序列化时候能够写入恶意类对象,在反序列化时PersistentContext对象调用readObject时对PersistentContext封装的序列化对象再次反序列化,可以绕过黑名单的限制

        漏洞复现

        测试环境:10.3.6.0 + jdk7u21

        1.vps开启JRMPListener

          java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 8000 Jdk7u21"open /System/Applications/Calculator.app"

          2. T3协议利用

            python weblogic_t3.py127.0.0.17001 /tmp/cve-2019.2890.ser

            漏洞分析

            该分析主要针对,由于直接复制PersistentContext类进行构造,中间会出现一些问题

            • 实例化对象时会调用SecurityServiceManager.i-sKernelIdentity进行判断,由于不影响writeO-bject对象创建直接注释掉即可.

            • 获取KERNEL_ID时候,网上师傅的文章发现生成序列化时候卡住,在调试时并没有出现该情况.测试的版本在调用SubjectManager.getSubject-Manager方法代码如下.

            • 在反序列化时,需要进行解密。所以在调用writeSubjec写入时需要执行EncryptionUtil.e-ncrypt对数据流进行加密.且加密条件需要本机的SerializedSystemIni.dat文件

            漏洞修复

            resolveClass中验证反序列化类是否为Subject子类

            CVE-2017~CVE-2018

            CVE-2017至2018更多是替换恶意类绕过补丁,不再赘述。

            CVE-2017-3248

            MarshalledObject+JRMP

            Apache Commons Colletions基础漏洞修复,与CVE-2016-3510利用相同不过恶意类替换为JRMP,利用java.rmi.registry.Registry.

            CVE-2018-2628

            MarshalledObject+JRMP

            java.rmi.registry.Registry替换为java.rmi.activation.Ac-tivator,绕过resolveProxyClass判断

            CVE-2018-2893

            CVE-2017-0638 + CVE-2017-3248即StreamMessageImpl中封装JRMPClient

            结语

            1. Weblogic利用T3协议反序列化,大多数是利用类封装恶意类绕过补丁(resolveClass).

            2. 在构造恶意类时可以重写writeObject/write-External方法.需要传入恶意类数据流的长度

            3. 关于JRMP类可以实现自己打自己可以参考链接:https://xz.aliyun.com/t/7079

            4. IDEA中进行低版本编译File->Project Structure->Project language level中选择

            参考链接

            1.https://www.jianshu.com/p/38033935a914

            2.https://www.cnblogs.com/afanti/p/10240232.html

            3. https://paper.seebug.org/333/

            4. https://xz.aliyun.com/search?keyword=weblogic

            5. https://www.cnblogs.com/afanti/p/10240232.html

            声明:本文来自逐日实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。