cve-2021-2394 weblogic反序列化漏洞分析

原创 于 2023-03-29 19:41:19 发布 · 389 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jvm #java #开发语言

本文详细分析了WebLogic反序列化漏洞CVE-2021-2394,探讨了黑名单绕过、JNDI注入等问题,介绍了漏洞触发的关键点和修复措施的不足,提供了一条结合CVE-2020-14841和CVE-2020-14756的利用链。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一 weblogic 反序列化绕过指南

本章节只是大概讲解一下如何绕过weblogic反序列化漏洞的补丁。

序列化和反序列化是将一个对象从本机JVM中传输到远程JVM上。在java
序列化的时候,会将对象的类名也写入到传输的数据中。反序列化的时候首先从数据中读取类名,然后通过反射,根据类名去实例化这个对象。类通过实现java.io.Serializable接口可以启用其序列化功能。未实现次接口的类无法使其任何状态序列化或反序列化。可序列化类的所有子类型本身都是可序列化的。序列化接口没有方法或字段,仅用于标识可序列化的语义。

一个类如果想被序列化,那么它可以继承自两个接口,这两个接口的对比如下。

区 别 Serializable Externalizable
实现复杂度 实现简单,Java对其有内建支持 实现复杂,由开发人员自己完成
执行效率 所有对象由Java统一保存,性能较低 开发人员决定哪个对象保存,可能造成速度提升
保存信息 保存时占用空间大 部分存储,可能造成空间减少

​而在weblogic的T3协议中,就是用java的序列化协议互相传输对象。为了保证安全性,T3协议的反序列化黑名单中标识哪些类不可以被反序列化。所以weblogic补丁绕过总共有下面几种办法

1.1 黑名单没有覆盖的类

weblogic的开发没有主管能动性,对于安全态度十分消极。只有有人上报CVE,他才会动手加黑名单。否则绝对不会做任何事情。而且对于黑名单经常漏加,造成很多绕过案例。

1.2 利用未经过滤的ObjectInputStream绕过绕过

在之前的公众号讲过,在weblogic中某些类继承自Externalizable接口,在反序列化的时候默认会调用readExternal方法。在该方法中没有使用weblogic提供的带有黑名单过滤功能的FilterInputStream去还原类。而是自作主张,自己使用了没有黑名单过滤的ObjectInputStream去还原对象。造成黑名单根本就没用上,例如CVE-2020-2551
就是这种情况。

当然这只是一个大概,并没有很详细,我们这篇文章的重点不在此。

3. CVE-2020-14841 Jndi注入漏洞

oracle.eclipselink.coherence.integrated.internal.cache.LockVersionExtractor中,代码如下

public Object extract(Object arg0) {
        if (arg0 == null) {
            return null;
        } else {
            if (arg0 instanceof Wrapper) {
                arg0 = ((Wrapper)arg0).unwrap();
            }


            if (!this.accessor.isInitialized()) {
                this.accessor.initializeAttributes(arg0.getClass());
            }


            return this.accessor.getAttributeValueFromObject(arg0);
        }
最低0.47元/天 解锁文章

200万优质内容无限畅学
Jinmindong
关注
WebLogic反序列化漏洞复现+利用工具(CVE-2021-2394)
0xSec
04-08 4948
Oracle官方发布了2021年7月份安全更新通告,通告中披露了WebLogic组件存在高危漏洞,攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。这是一个二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。
Weblogic反序列化漏洞分析CVE-2021-2394
最新发布
shelter1234567的博客
02-02 1527
Oracle官方发布了2021年7月份安全更新通告,通告中披露了WebLogic组件存在高危漏洞,攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。剧透一下:这是一个二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。...} else {......//抽象方法...此类的。
WebLogic反序列化漏洞(CVE_2021_2394)
m0_51330619的博客
09-12 3732
本次利用vulhub靶场的/weblogic/CVE-2020-14882靶机复现 攻击机环境与工具:jdk1.8,JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar,CVE_2021_2394.jar http://dnslog.cn/ 在dnslog.cn点击get subdomain,得到url urjxbx.dnslog.cn 使用工具JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar java -jar JNDI-Inj
【web安全】Weblogic CVE-2021-2394 分析
dzqxwzoe的博客
01-08 861
2021年7月21日,Oracle官方 发布了一系列安全更新。涉及旗下产品(Weblogic Server、Database Server、Java SE、MySQL等)的 342 个漏洞WebLogic Server 产品中有高危漏洞漏洞编号为 CVE-2021-2594,CVSS 评分9.8分,影响多个 WebLogic 版本,且漏洞利用难度低,可基于 T3 和 IIOP 协议执行远程代码。
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ)
01-09
然而,与所有软件一样,Weblogic也存在安全漏洞,其中CVE-2017-10271是一个著名的反序列化漏洞CVE-2017-10271漏洞源于Weblogic服务器中WLS-Windows-Autopatch组件处理特定类型输入的反序列化过程。这个组件是...
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .txt
06-27
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .网上几乎没有,请珍惜。
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ) 自己已经打上补丁了。欢迎下载
02-24
在2017年,WebLogic服务器被发现存在一个名为CVE-2017-10271的安全漏洞,这是一个高危级别的反序列化漏洞。这个漏洞允许攻击者通过构造恶意的Java对象序列化数据,远程执行任意代码,从而控制受影响的系统。 **CVE-...
WebLogic CVE-2021-2394 RCE 漏洞分析
HBohan的博客
07-26 2718
漏洞简述 2021年3月15日墨云安全V-Lab实验室向Oracle官方报告了Weblogic Server RCE漏洞,2021年7月21日Oracle发布了致谢信息。 这是一个二次反序列化漏洞,是cve-2020-14756和cve-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。 漏洞分析 最开始我是发现了oracle.eclipselink.coherence.integrated.internal.cache.SerializationHelper类中的re.
weblogic反序列化漏洞补丁
09-11
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
weblogic10.3.6反序列化补丁包
06-22
weblogic10.3.6.0反序列化补丁包,p20780171_1036_Generic (2).zip补丁包和p22248372_1036012_Generic.zip升级包,要先安装升级包在安装补丁包
weblogic10.36反序列化补丁
01-24
weblogic10.36反序列化补丁,p20780171_1036_Generic。
Weblogic反序列化漏洞补丁包
01-18
Weblogic反序列化漏洞补丁包。1.0.36需要先升级到P12.
weblogic反序列化漏洞补丁.zip
03-21
含p20780171_1036_Generic.zip、p22248372_1036012_Generic.zip、测试工具Test.jar
weblogic反序列化_WebLogic反序列化漏洞补丁绕过预警
weixin_39714113的博客
12-12 186
更多全球网络安全资讯尽在E安全官网www.easyaq.com1.安全公告2019年4月26,Oracle官方发布了一个WebLogic10.3.6.0, 12.1.3.0版本存在反序列化远程代码执行漏洞的公告,CVE编号:CVE-2019-2725,相关信息链接接:https://www.oracle.com/technetwork/security-advisory/alert-cve-201...
Weblogic11g反序列化漏洞打补丁(Linux)
shouhuxiancheng的博客
01-17 1182
先开启服务,登录weblogic控制台 2.停服务  killall -9 java   3.备份weblogic软件及应用程序包: 4.修改bsu.sh的MEM_ARGS值,建议修改为-Xms2048m -Xmx2048m(可以根据自己的实际内存修改) vim /u01/middleware/utils/bsu/bsu.sh     MEM_ARGS="-Xms2048m -Xmx...
Weblogic 反序列化漏洞解决补丁文件
03-24
这个是自制的Weblogic 反序列化漏洞解决补丁文件。经过测试。 使用方法: 将weblogic_patch.jar 放在linux的以下目录: $WL_HOME/Middleware/patch_wls1036/profiles/default/sys_manifest_classpath $WL_HOME是weblogic的安装主目录。
Weblogic10.3.6反序列化漏洞补丁(3L3H)升级方案
孑木文学的博客
10-29 3175
针对这几年来WebLogic软件经常报出的java反序列化漏洞问题,因为weblogic底层也使用Apache Commons Collections库,WebLogic 存在Java反序列化漏洞无疑的,在漏洞修复这方面,Oracle可是很不走心,每个季度更新补丁包,还是未修完,本文针对Weblogic反序列化漏洞补丁提供升级方案以及升级过程遇到问题问题过程处理。
利用POC检测WebLogic反序列化漏洞CVE-2019-2725
在2019年,Oracle WebLogic服务器遭遇了一个严重的反序列化漏洞,即CVE-2019-2725。这个漏洞允许攻击者通过精心构造的恶意请求,利用WebLogic应用程序中的序列化功能来执行任意代码,从而获取系统控制权限。由于其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值