CNVD-C-2019-48814 WebLogic反序列化远程命令执行漏洞

漏洞信息       
漏洞名称:OracleWebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)

影响版本:- WebLogic 10.x   

                  - WebLogic 12.1.3 

此漏洞影响启用bea_wls9_async_response组件及wls-wsat组件的所有Weblogic版本。

漏洞评级:高危

漏洞简介:

WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。

该漏洞是存在于weblogic自带的wls9_async_response.war组件及wls-wsat组件中,在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意HTTP 请求,未授权的情况下远程执行命令。部分版本WebLogic中默认包含的wls9_async_response包,主要是为WebLogic Server提供异步通讯服务。

漏洞分析:

我们知道漏洞存在于wls9_async_response.war 这个包里面。那我们来看一下这个包。

wls9_async_response组件情况:

首先看一下bea_wls9_async_response.war!/WEB-INF/web.xml 内容,我们发现这里的所有请求都是交给weblogic.wsee.async.AsyncResponseBean 方法继续处理。
CNVD-C-2019-48814 WebLogic反序列化远程命令执行漏洞_第1张图片
而在bea_wls9_async_response.war!/WEB-INF/weblogic-webservices.xml 文件中,这里定义了目前流传的一些poc请求路径。
CNVD-C-2019-48814 WebLogic反序列化远程命令执行漏洞_第2张图片

那这里需要跟进一下 weblogic.wsee.async.AsyncResponseBean 这个方法,这个方法的位置在/weblogic.jar!/weblogic/wsee/async/AsyncResponseBean.class ,头部import的包如下所示:
CNVD-C-2019-48814 WebLogic反序列化远程命令执行漏洞_第3张图片
这里关注到了几个soap相关的包,从公布的poc中可知触发原因应该是由于soap注入引起的反序列化漏洞,但是在 AsyncResponseBean 中只有 handleFault和handleResult 方法。跟进这两个方法确实没有找到反序列化相关的触发点,因为看poc很像 CVE-2017-10271(XMLDecoder反序列化漏洞)。

进一步分析:

在Servlet拦截器下个断点,位置在weblogic.jar!/weblogic/wsee/server/servlet/BaseWSServlet.class,从前的import包中可知应该与soap有关系。
CNVD-C-2019-48814 WebLogic反序列化远程命令执行漏洞_第4张图片
跟进一下 weblogic.jar!/weblogic/wsee/server/servlet/SoapProcessor.class
CNVD-C-2019-48814 WebLogic反序列化远程命令执行漏洞_第5张图片
继续跟入 getMethod 方法,

跟到了 weblogic.jar!/weblogic/servlet/internal/ServletRequestImpl.class

继续跟入 getRequestParser方法,

位置在weblogic.jar!/weblogic/servlet/internal/ServletRequestImpl.class

继续跟进,来到weblogic.wsee.server.servlet.SoapProcessor#process中。

然后一直跟进,跟进到

weblogic.jar!/weblogic/wsee/ws/dispatch/server/ServerDispatcher.class的第85行
CNVD-C-2019-48814 WebLogic反序列化远程命令执行漏洞_第6张图片
继续跟进到 weblogic.jar!/weblogic/wsee/ws/dispatch/server/ServerDispatcher.class的第93行,跟进handleRequest(weblogic.jar!/weblogic/wsee/handler/HandlerIterator.class) ,在下面代码处下个断点。

Handler var4 = this.handlers.get(this.index)

这里有很多 handler,最感兴趣的是 AsyncResponseHandler 。
CNVD-C-2019-48814 WebLogic反序列化远程命令执行漏洞_第7张图片
但是随着进一步的step into,发现触发点并不是这里。
CNVD-C-2019-48814 WebLogic反序列化远程命令执行漏洞_第8张图片
跟进到了 WorkAreaServerHandler 这个handler之后,发现了新大陆。
CNVD-C-2019-48814 WebLogic反序列化远程命令执行漏洞_第9张图片
WorkAreaServerHandler(weblogic.jar!/weblogic/wsee/workarea/WorkAreaServerHandler.class),这里会从我们提交的poc中获取数据。
CNVD-C-2019-48814 WebLogic反序列化远程命令执行漏洞_第10张图片

跟进一下 receiveRequest 方法,

位置在wlclient.jar!/weblogic/workarea/WorkContextLocalMap.class中。
CNVD-C-2019-48814 WebLogic反序列化远程命令执行漏洞_第11张图片
继续跟进一下 readEntry ,

位置在wlclient.jar!/weblogic/workarea/spi/WorkContextEntryImpl.class中。

跟进一下 readUTF ,位置在weblogic.jar!/weblogic/wsee/workarea/WorkContextXmlInputAdapter.class,结果出来了。

果然是 xmlDecoder 发序列化,我们在这里下一个断点,最后看一下调用链。
CNVD-C-2019-48814 WebLogic反序列化远程命令执行漏洞_第12张图片

此漏洞分析来源:http://www.lmxspace.com/

你可能感兴趣的:(经典漏洞利用,java,数据库,前端)