欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

WebLogic反序列化漏洞CVE-2018-2628复现与EXP构造

来源:本站整理 作者:TopScrew 时间:2018-04-25 TAG: 我要投稿

漏洞概要
Oracle官方发布了4月份的关键补丁更新CPU(Critical Patch Update),其中包含Weblogic反序列化漏洞可导致远程代码执行漏洞,漏洞威胁等级为高危,对应的CVE编号为CVE-2018-2628。
影响版本
Oracle WebLogic Server10.3.6.0
Oracle WebLogic Server12.2.1.2
Oracle WebLogic Server12.2.1.3
Oracle WebLogic Server12.1.3.0
环境搭建
在Oracle 官网下载相对应的weblogic安装包。进行下载安装即可。如果下载后只能在本地访问7001端口的话。进入console页面进行如下配置。

将监听地址改为0.0.0.0  保存配置,并重启服务器。

环境检测
检测weblogic版本信息和t3协议是否开启。只针对没打补丁的情况下的检测。

简要分析
首先建立socket建立连接,使用t3协议进行握手。

握手成功后发送payload。
 

rmi知识补充
RMI:远程方法调用(Remote Method Invocation)。能够让在某个java虚拟机上的对象像调用本地对象一样调用另一个java 虚拟机中的对象上的方法。
定义服务端接口
UnicastRemoteObject类的构造函数抛出了RemoteException,继承类的构造函数必须也抛出RemoteException。
import java.rmi.Remote;public interface HelloWorld extends Remote{public String sayHello()  throws java.rmi.RemoteException;}
服务端接口的实现
public class HelloWorldImpl extends UnicastRemoteObject implements HelloWorld {protected HelloWorldImpl()   throws java.rmi.RemoteException {super();    }private static final long serialVersionUID = 4077329331699640331L;    public String sayHello()   throws java.rmi.RemoteException {return "Hello  World ";    }}
Server实现
import java.rmi.registry.LocateRegistry;public class HelloServer {public static void main(String[] args) {try {            HelloWorld hello = new HelloWorldImpl();            //本地创建并启动RMI Service,被创建的Registry服务将在指定的端口上侦听到来的请求            LocateRegistry.createRegistry(1099);            //把远程对象注册到RMI注册服务器上              java.rmi.Naming.bind("rmi://localhost:1099/aaa", hello);        } catch (Exception e) {            e.printStackTrace();        }    }}
Client实现
import java.rmi.Naming;public class Client {public static void main(String[] args) {try {            HelloWorld obj = (HelloWorld) Naming.lookup("rmi://xx.xx.xx.xx:1099/aaa");            System.out.println(obj.sayHello());        } catch (Exception e) {            e.printStackTrace();        }    }}
当客户端调用lookup方法时先根据服务名查找远程对象,然后会调用远程方法。

引用廖师傅的文章:传送门
PoC中会序列化一个RemoteObjectInvocationHandler,它会利用UnicastRef建立到远端的tcp连接获取RMI registry,加载回来再利用readObject解析,从而造成反序列化远程代码执行。
结合payload进行测试
本地构建rmi客户端

服务器端使ysoserial的 JRMP对1099 端口进行监听。Payload使用2015年的CommonsCollections反序列化的poc。为什么使用CommonsCollections,稍后解释。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载