Weblogic t3协议分析

原创 已于 2023-11-06 18:01:54 修改 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #安全

于 2023-11-06 18:01:24 首次发布
本文介绍了WebLogic中的反序列化漏洞利用,包括基于T3协议的CVE-2020-2883,通过Docker搭建测试环境,详细解释了T3协议组成及利用流程,并展示了利用链和回显利用方法,以及如何在受限环境下通过RMI实现代码执行。

漏洞介绍

weblogic反序列化漏洞大致有两种,一种是基于t3协议的,一种是基于xml的

基于T3协议漏洞大致有: CVE-2015-4582、CVE-2016-0638、CVE-2016-3510、CVE-2018-2628、CVE-2020-2555、CVE-2020-2883

其中CVE-2020-2883是CVE-2020-2555补丁的绕过,实则差不多

调试环境搭建

本篇测试CVE-2020-2883漏洞使用docker搭建环境

使用vulfocus/weblogic-cve_2020_2883镜像(weblogic:12.1.3)、idea远程调试

docker-compose.yml配置如下

version: '2' 
services: 
 weblogic: 
   image: vulfocus/weblogic-cve_2020_2883:latest 
   ports: 
    - "7001:7001" 
    - "8453:8453"

然后docker-compose up -d启动镜像,

再docker exec -it <镜像ID> /bin/bash,进入容器shell vi /u01/oracle/weblogic/user_projects/domains/base_domain/bin/setDomainEnv.sh

搜索debugFlag

在if上添加

debugFlag="true" 
export debugFlag

如图

然后:wq保存,exit退出容器`docker restart <容器id>`重启容器,服务端调试环境就搭建好了

还有个问题就是,本地调试需要远程运行项目的jar包或源码,可以直接dokcer cp从镜像里把jar包都拿出来,但是下载速度太慢了,我选择本机在官网下载weblogic12.1.3的安装包,然后解压,把.jar后缀的放到一个文件夹下,当做依赖

在本地打开idea,创建空项目,然后将上面整理好的文件夹,设置为依赖,如图

再设置远程调试,如图

这样调试环境就搭建好了

漏洞测试exp用的是GitHub - Y4er/CVE-2020-2883: Weblogic coherence.jar RCE,运行前修改地址和端口

服务端启动docker后,本地idea开启调试,就可以连接到服务端

然后在wlthint3client.jar!/weblogic/rjvm/InboundMsgAbbrev.class#read处加断点,如图

在此处就可以看见反序列化流程了

t3协议组成分析

首先在发出t3协议数据包之前,要先发一个header,例:t3 10.3.1\nAS:255\nHL:19\n\n

10.3.1是本地客户端请求,AS是abbrevs的大小,HL是header长度

发送完header后再发送t3协议

最低0.47元/天 解锁文章
YakProject
关注
weblogic反序列化之T3协议(CVE-2015-4582)
遇事不决冲冲冲
05-12 4856
基于T3协议weblogic反序列化漏洞 之前说过在weblogic里面其实反序列化漏洞利用中大致分为两种,一个是基于T3协议的反序列化漏洞,一个是基于XML的反序列化漏洞,这篇来分析一下基于T3协议weblogic,列出几个基于T3协议具有代表性的CVE: CVE-2015-4582、CVE-2016-0638、CVE-2016-3510、CVE-2018-2628、CVE-2020-2555、CVE-2020-2883,每个cve的思路大致都是基于上几个漏洞的补丁进行的一个绕过,本来想逐个分析,这里
WebLogic T3 反序列化绕过漏洞(CVE-2018-2893)检测POC
IT界迷者Blog--
10-17 7048
WebLogic T3 反序列化绕过漏洞(CVE-2018-2893)检测POC #!env python # -*- coding: utf-8 -*- import socket import time import re import sys VUL=['CVE-2018-2893'] #remote ip changed to :127.0.0.1 PAYLOAD=['ACED0005...
关于weblogic的t3协议
TT123456XY的博客
06-25 1万+
问题描述:分行自使用BBIP以来,一直都是通过打一个tar都测试环境投产部署来进行测试,流程极其繁琐,光重启应用就得5分钟,现致力于解决此问题,通过在本地编写单元测试进行调试,但行内系统开发不像普通的应用开发本地随便Run,它涉及到一个服务调用问题,总行有很多已经投产并且在使用的公共服务,所以本地启动必须要能连上测试环境的weblogic,调用BBIP平台,需要放开下面这个标签。 这是在本地...
weblogic 使用的T3 协议
热门推荐
changyanmanman的专栏
06-30 5万+
T3也称为丰富套接字,是BEA内部协议,功能丰富,可扩展性好。T3是多工双向和异步协议,经过高度优化,只使用一个套接字和一条线程。借助这种方法,基于Java的客户端可以根据服务器方需求使用多种RMI对象,但仍使用一个套接字和一条线程。配置 T3 协议  1. 如果尚未执行此操作,请在管理控制台的更改中心中单击“锁定并编辑”。   2. 在管理控制台中,展开“环境”,然后选择“服务器”。   3.
Weblogic的t3协议
mingyqf的博客
04-21 3412
WebLogic:CVE-2018-2628-T3协议反序列化漏洞
h1008685的博客
07-31 1215
漏洞成因,漏洞利用:payload格式转,kali启动JRMPListener,监听本机端口,kali运行poc,成功连接,查看系统版本
【技术分享】WebLogic T3协议反序列化 0day 漏洞分析 .pdf
09-05
【技术分享】WebLogic T3协议反序列化 0day 漏洞分析 安全运营 大数据 解决方案 安全防护 金融安全
Weblogic T3协议高并发处理案例分析:提升性能的策略与技巧
[Weblogic T3协议高并发处理案例分析:提升性能的策略与技巧](https://ucc.alicdn.com/pic/developer-ecology/27765ab731534af09919ea3272ddd0fa.png?x-oss-process=image/resize,s_500,m_lfit) # 1. Weblogic T3...
Weblogic12c T3 协议安全漏洞分析【CVE-2020-14645 && CVE-2020-2883 && CVE-2020-14645】
weixin_45694388的博客
10-02 2380
前言 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件。 主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 近几年频繁爆发出多个RCE漏洞,而在今年,其T3协议被频繁攻击和发布补丁与绕过,本文主要对今年来由T3协议入口所产生的多个RCE漏洞进行分析,其中主要包括CVE-2020-2555、 CVE-2020-2883(bypass CVE-2020-2555补丁)、 CVE-2020
WebLogic T3协议简介
阿大撒大撒的博客
01-11 4133
WebLogic T3协议(Two-Tier TCP/IP Protocol)是Oracle WebLogic Server中的一种专有协议,它建立在TCP/IP协议之上,用于在客户端和服务器之间进行通信。T3协议WebLogic Server的默认通信协议,主要用于处理Java客户端和WebLogic Server之间的交互。
weblogic反序列化之T3协议
snowlyzz的博客
01-16 3534
T3反序列化学习
WebLogic使用的t3协议
lddongyu
07-27 1万+
T3也称为丰富套接字,是BEA内部协议,功能丰富,可扩展性好。T3是多工双向和异步协议,经过高度优化,只使用一个套接字和一条线程。借助这种方法,基于Java的客户端可以根据服务器方需求使用多种RMI对象,但仍使用一个套接字和一条线程。
weblogic t3协议配置_【原创漏洞】Weblogic 反序列化漏洞通告(CVE20202798 、CVE20202801)...
weixin_39785524的博客
12-12 1265
更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)漏洞概述:Oracle官方发布4月份安全补丁, 补丁中包含启明星辰ADLab发现并第一时间提交给官方的漏洞,漏洞编号为CVE-2020-2798和CVE-2020-2801。其中,CVE-2020-2798 CVVS评分为7.2分,CVE-2020-2801漏洞等级为高危,C...
weblogic t3协议配置_Weblogic T3、IIOP协议批量禁用
weixin_39598308的博客
12-12 9178
近期各地各行业护网运动开展如火如荼,各系统、中间件、数据库、开源软件层面漏洞层出不穷,另相关的维护专业这苦不堪言。本文要讲的就是与weblogic中间件近期不断被曝出的T3协议、IIOP协议0day漏洞有关。在护网期间,官方补丁又未更新的情况下,能做的可能就是通过及时的禁用相关的协议,以达到漏洞修复的目的,但是通常任务紧、时间短、实例数量又众多的情况下,我们如何快速的做到对实例进行批量的...
weblogic T3协议(附python脚本)
一个安全研究员
07-31 5898
就随便搞了搞
weblogicT3协议反序列化复现
san3144393495的博客
04-26 591
Weblogic Server中的RMI 通信使用T3协议Weblogic Server和其它Java程序(客户端或者其它Weblogic Server实例)之间传输数据, 服务器实例会跟踪连接到应用程序的每个Java虚拟机(JVM)中, 并创建T3协议通信连接, 将流量传输到Java虚拟机。攻击者可以通过T3协议发送恶意的的反序列化数据, 进行反序列化, 实现对存在漏洞的weblogic组件的远程代码执行攻击。端口是JRMP Server:是端口。开始构造pyload。进行base64加密。
weblogic t3协议配置_WebLogic 高危漏洞预警(CVE-2019-2891、CVE-2019-2890)
weixin_39984442的博客
12-12 896
黑客利用漏洞可能可以远程获取 WebLogic 服务器权限,风险较大。作者/来源: 安华金和Oracle 官方发布安全公告,披露 WebLogic 服务器存在多个高危漏洞,包括反序列化等。黑客利用漏洞可能可以远程获取 WebLogic 服务器权限,风险较大。漏洞描述CVE-2019-2891 中,未经授权的攻击者可以通过精心构造的 HTTP 请求向 Console 组件发起请求,从而接管 WebL...
weblogic t3协议配置_漏洞风险提示 | WebLogic 多个高危漏洞
weixin_39948824的博客
12-03 1353
长亭漏洞风险提示 WebLogic 多个高危漏洞Oracle 官方在 10 月 20 日发布了重要补丁更新 CPU(Critical Patch Update),修复了多个 WebLogic 高危漏洞:https://www.oracle.com/security-alerts/cpuoct2020.html此次安全更新中修复了由长亭科技安全研究员 V...
安全加固之weblogic屏蔽T3协议
有莘不破的博客
01-05 3766
介绍weblogic t3封阻策略一例
如何判断weblogic系统是T3协议还是ⅡOP协议
最新发布
09-11
判断WebLogic系统使用T3协议还是IIOP协议可以从以下几个方面入手: ### 配置文件查看 WebLogic的配置文件中通常会明确指定使用的协议。可以查看 `config.xml` 文件或者相关的域配置文件。在配置文件中搜索关于协议的配置项,如果存在类似 `t3://` 的配置,说明使用的是T3协议;如果存在 `iiop://` 的配置,则使用的是IIOP协议。例如,在配置文件中可能会有如下配置: ```xml <server> <name>myServer</name> <listen-address>localhost</listen-address> <listen-port>7001</listen-port> <listen-protocol>t3</listen-protocol> <!-- 这里表明使用T3协议 --> </server> ``` 或者 ```xml <server> <name>myServer</name> <listen-address>localhost</listen-address> <listen-port>7002</listen-port> <listen-protocol>iiop</listen-protocol> <!-- 这里表明使用IIOP协议 --> </server> ``` ### 客户端连接URL 在客户端代码中,如果连接WebLogic服务器的URL以 `t3://` 开头,那么使用的是T3协议;如果以 `iiop://` 开头,则使用的是IIOP协议。例如,Java代码中使用T3协议连接WebLogic服务器: ```java import javax.naming.Context; import javax.naming.InitialContext; import java.util.Hashtable; public class T3ConnectionExample { public static void main(String[] args) { try { Hashtable<String, String> env = new Hashtable<>(); env.put(Context.INITIAL_CONTEXT_FACTORY, "weblogic.jndi.WLInitialContextFactory"); env.put(Context.PROVIDER_URL, "t3://localhost:7001"); // 使用T3协议 InitialContext ctx = new InitialContext(env); // 后续操作 } catch (Exception e) { e.printStackTrace(); } } } ``` 如果使用IIOP协议连接: ```java import javax.naming.Context; import javax.naming.InitialContext; import java.util.Hashtable; public class IIOPConnectionExample { public static void main(String[] args) { try { Hashtable<String, String> env = new Hashtable<>(); env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.cosnaming.CNCtxFactory"); env.put(Context.PROVIDER_URL, "iiop://localhost:7002"); // 使用IIOP协议 InitialContext ctx = new InitialContext(env); // 后续操作 } catch (Exception e) { e.printStackTrace(); } } } ``` ### 端口监听情况 T3协议和IIOP协议通常使用不同的端口。默认情况下,WebLogic的T3协议使用7001端口,而IIOP协议使用7004端口。可以通过查看服务器的端口监听情况来判断使用的协议。在Linux系统中,可以使用 `netstat` 命令: ```bash netstat -tlnp | grep java ``` 在Windows系统中,可以使用 `netstat` 命令: ```batch netstat -ano | findstr :7001 # 查找T3协议默认端口 netstat -ano | findstr :7004 # 查找IIOP协议默认端口 ``` 如果在输出中看到Java进程监听了7001端口,可能使用的是T3协议;如果监听了7004端口,可能使用的是IIOP协议。 ### 服务发现和日志分析WebLogic的管理控制台中,可以查看服务器的服务发现信息,了解服务器使用的协议。此外,还可以查看WebLogic的日志文件,日志中可能会记录服务器使用的协议信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值