Weblogic安全漫谈(三)

于 2024-06-28 10:57:02 发布
阅读量959 收藏 11
点赞数 20
文章标签: 安全 web安全 网络 java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cc123489ll/article/details/140037201
版权

本篇介绍coherence.jar中的漏洞利用链及后续绕过。

经历2015到2018的3年迭代后,Weblogic的黑名单逐渐完善,废掉CC反序列化更是釜底抽薪。另一方面也促使研究员去挖掘新组件新利用链,这篇介绍的就是@testbnull在发现Spring写文件链后[1],继续挖掘出coherence.jar中的漏洞利用链及后续绕过。因为10.3.6默认没有启用coherence,我们用12.2.1.3作为调试环境。

CVE-2020-2555

CC链的核心是InvokerTransformer#transform方法对Method.invoke的调用,Weblogic几百个lib中有没有类CC链呢?

  1. 1. 查找调用了Method.invoke的方法

  2. 2. 筛出可被序列化的方法所在类

  3. 3. 剔除参数不可控的结果

注意到com.tangosol.util.extractor.ReflectionExtractor#extract,与transform不说丝毫不差至少也是大同小异。

同包中也有与ChainedTransformer作用一致的ChainedExtractorReflectionExtractor实现了ValueExtractor接口满足类型要求:

tabby的分析找到了关键的com.tangosol.util.filter.LimitFilter#toString,这样就能链上CC5开头用的BadAttributeValueExpException实现完整利用链。

更进一步可以找到很多具有套娃能力的类方法:

除此以外注意到期间出现过的MVEL包,方便地查到也可以com.tangosol.coherence.rest.util.extractor.MvelExtractor#extract作为sink执行MVEL表达式。

根据关键类方法的变量要求构建利用链就行:

extract:95, MvelExtractor (com.tangosol.coherence.rest.util.extractor)

extract:112, ReflectionExtractor (com.tangosol.util.extractor)
extract:83, ChainedExtractor (com.tangosol.util.extractor)

// extract:96, MultiExtractor (com.tangosol.util.extractor)

toString:581, LimitFilter (com.tangosol.util.filter)
readObject:86, BadAttributeValueExpException (javax.management)
invoke0:-1, NativeMethodAccessorImpl (sun.reflect)
invoke:62, NativeMethodAccessorImpl (sun.reflect)
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
invoke:498, Method (java.lang.reflect)
invokeReadObject:1170, ObjectStreamClass (java.io)
readSerialData:2178, ObjectInputStream (java.io)
readOrdinaryObject:2069, ObjectInputStream (java.io)
readObject0:1573, ObjectInputStream (java.io)

CVE-2020-2883

上文搜索"具有套娃能力的类"时,有一个与很多节点是[ALIAS]关系的抽象基类com.tangosol.util.extractor.AbstractExtractorcompare中调用了extract

这样就能链上CC2开头用的PriorityQueue实现完整利用链。

extract:95, MvelExtractor (com.tangosol.coherence.rest.util.extractor)

extract:112, ReflectionExtractor (com.tangosol.util.extractor)
extract:83, ChainedExtractor (com.tangosol.util.extractor)

// extract:96, MultiExtractor (com.tangosol.util.extractor)

compare:79, AbstractExtractor (com.tangosol.util.extractor)
siftDownUsingComparator:722, PriorityQueue (java.util)
siftDown:688, PriorityQueue (java.util)
heapify:737, PriorityQueue (java.util)
readObject:797, PriorityQueue (java.util)
invoke0:-1, NativeMethodAccessorImpl (sun.reflect)
invoke:62, NativeMethodAccessorImpl (sun.reflect)
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
invoke:498, Method (java.lang.reflect)
invokeReadObject:1170, ObjectStreamClass (java.io)
readSerialData:2178, ObjectInputStream (java.io)
readOrdinaryObject:2069, ObjectInputStream (java.io)
readObject0:1573, ObjectInputStream (java.io)

Weblogic在后面的补丁将两个sink类加入了黑名单:

CVE-2020-14645

UniversalExtractor看似能调用任意类方法,实际受内部逻辑限制(尤其是CanonicalNames#computeValueExtractorCanonicalName)只能调到任意类的无参get/is方法,可以通过一些getter链触发JNDI完成利用。

extractComplex:432, UniversalExtractor (com.tangosol.util.extractor)
extract:175, UniversalExtractor (com.tangosol.util.extractor)
// extract:105, ChainedExtractor (com.tangosol.util.extractor)
// extract:96, MultiExtractor (com.tangosol.util.extractor)
compare:143, AbstractExtractor (com.tangosol.util.extractor)
siftDownUsingComparator:722, PriorityQueue (java.util)
siftDown:688, PriorityQueue (java.util)
heapify:737, PriorityQueue (java.util)
readObject:797, PriorityQueue (java.util)
invoke0:-1, NativeMethodAccessorImpl (sun.reflect)
invoke:62, NativeMethodAccessorImpl (sun.reflect)
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
invoke:498, Method (java.lang.reflect)
invokeReadObject:1170, ObjectStreamClass (java.io)
readSerialData:2178, ObjectInputStream (java.io)
readOrdinaryObject:2069, ObjectInputStream (java.io)
readObject0:1573, ObjectInputStream (java.io)

网络安全成长路线图

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成hei客大神,这个方向越往后,需要学习和掌握的东西就会越来越多,以下是学习网络安全需要走的方向:

​ 上面介绍了技术分类和学习路线,这里来谈一下学习方法:

​ 无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程如果你对网络安全入门感兴趣,那么你点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

在这里插入图片描述

如果你对网络安全入门感兴趣,那么你点击这里👉优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

weblogic 配置连接过滤器设置ip黑白名单
weixin_34038652的博客
11-03 4427
2019独角兽企业重金招聘Python工程师标准>>> ...
Weblogic安全漫谈(四)
最新发布
moresec的博客
01-05 1277
黑名单机制必然会推动两种研究方向的发展:一是挖掘不在黑名单的新组件,是为绕过规则;二是发掘检查的盲区,是为绕过逻辑。
weblogic筛选过滤器
weixin_42185460的博客
04-14 3350
weblogic 配置连接过滤器设置ip黑白名单 最近有个项目部署在weblogic上,要求过滤客户访问ip,设置ip白名单。百度谷歌了很久,终于弄好了,现将步骤总结如下: 进入weblogic 管理控制台,点击要配置的域 点击对应的域之后,右侧会出现域相关的设置,点击安全设置“security”. 点击security之后会显示安全相关的配置项。先出现的选项卡中选择“filter”过滤器。 点击过滤器就进入过滤器设置界面。勾选"Connection Logger Enabled"设置项。 配置connec
网络安全---漏洞复现】WebLogic 反序列化漏洞(CVE-2019-2890)漏洞复现
m0_67844671的博客
09-19 2039
Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic反序列化黑名单,使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。
Weblogic安全漫谈()
moresec的博客
01-03 1352
分析开启T3反序列化魔盒后的修复与绕过。
Weblogic安全漫谈()
moresec的博客
01-02 1341
frohoff在2015年初发现commons-collections的反序列化利用链并发布了ysoserial工具[1]。9个月后,@breenmachine对众多知名Java中间件的利用文章[2]使Java反序列化漏洞变得广为人知,Weblogic中首当其冲的就是大家多少都有点耳熟的T3协议反序列化。本篇从CVE-2015-4852入手了解T3协议的构造,作为后续T3反序列化漏洞学习和利用的基础。
漫谈WebLogic-CVE-2020-25511
08-03
漫谈WebLogic-CVE-2020-25511】是关于Oracle WebLogic服务器中的一个重要安全漏洞的讨论。2020年1月14日,Oracle发布了一个安全更新,修复了43个高危漏洞,其中CVE-2020-25511是一个关键的安全问题,其CVSS评分...
linux防火墙ip黑名单,【转】Linux防火墙(iptables)黑名单
weixin_42468901的博客
05-07 2783
iptables删除规则So if you would like to delete second rule :iptables -D INPUT 2------------------------------如果你愿意,你可以保存特定的IP集到一个文件中,以后可以从文件中还原:ipset save banlist -f banlist.txtipset destroy banlistipset ...
记一次Weblogic控制台弱口令爆破事件应急响应
Boom!脑洞大爆炸的博客
06-27 793
记一次Weblogic控制台弱口令爆破事件应急响应
cve-2021-2394 weblogic反序列化漏洞分析
Jinmindong
03-29 375
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
【技术推荐】WebLogic 反序列化漏洞深入分析
m0_73257876的博客
09-25 3462
WebLogic 漏洞存在较多的反序列化类和反序列化的途径,在使用黑名单防御手段下,攻击者只要找到新的反序列化触发点,就能造成新的危害。比如,你有一个类 A,类里面有个属性是类 B,这个时候,在反序列化的过程中,就会先反序列化类 A,之后在填充类 A 的过程中,继续反序列化类 B,类 B 在反序列化完成后,填充到类 A 中,同时整个过程都在一个流中操作,这个时候,只要还是 ObjectOutStream 的 read_value进行反序列化操作就不能饶过黑名单
WebLogic反序列化漏洞的利用与防御
Fly_鹏程万里
10-29 7499
0x00 前言 上周出的 WebLogic 反序列漏洞,跟进分析的时候发现涉及到不少 Java 反序列化的知识,然后借这个机会把一些 Java 反序列化漏洞的利用与防御需要的知识点重新捋一遍,做了一些测试和调试后写成这份报告。文中若有错漏之处,欢迎指出。 0x01 Java 反序列化时序 Java 反序列化时序对于理解 Java 反序列化的利用或是防御都是必要的,例如有些 Gadget ...
weblogic控制台_Weblogic漏洞——从入门到放弃
weixin_31008853的博客
01-22 1886
声明:本文首发于freebuf TideSec专栏:https://www.freebuf.com/column/197546.html本文中所涉及的目标系统均为局域网搭建的测试环境,如IP或URL有雷同纯属巧合。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!本文首先会为大家梳理几乎weblogic全部历史漏洞,在...
Weblogic漏洞利用总结
YouthBelief的博客
10-28 7096
weblogic前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np imp
weblogic反序列化_weblogic历史T3反序列化漏洞及补丁梳理
weixin_39719018的博客
12-13 742
NO.壹.环境搭建 使用ateam大哥开源的调试环境 [Weblogic环境搭建工具](https://github.com/QAX-A-Team/WeblogicEnvironment)漏洞环境搭建docker build --build-arg JDK_PKG=jdk-7u21-linux-x64.tar.gz --build-arg WEBLOGIC_JAR=wls10...
weblogic系列漏洞整理————6、反序列化漏洞(CVE-2017-3248)
Fly_鹏程万里
11-01 3523
0x01 漏洞描述 2017年1月27日,WebLogic 官方发布了一个编号为 CVEID: CVE-2017-3248 的漏洞,影响为 Critical 。之前轰动一时的反序列化漏洞,官方当时的修补措施,在本漏洞中可被绕过。此次漏洞影响 WebLogic 版本如下图所示: 0x02 漏洞分析与验证 分析之前 WebLogic 漏洞 CVE-2015-4852 的补丁,发现 WebLo...
WebLogic安全指南:全面配置与实践
WebLogic安全管理是WebLogic Server中一项关键的功能,它确保系统的安全性和数据完整性。这一章详尽介绍了WebLogic安全配置过程,包括以下几个核心环节: 1. **改变系统口令**:首先,为了保护服务器免受未经授权...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值