看我如何挖掘Weblogic XXE
yuyutoo 2024-11-27 22:55 2 浏览 0 评论
1、目标选择
去年暑期在tx某实验室实习,leader给的任务就是挖掘web服务器漏洞,最近研究weblogic服务器内容比较多,遂选择它了。
2、研究方向
当时weblogic爆出的最新的洞是2725那个RCE,想着能否找个RCE出来,看weblogic补丁历史,RCE思路有俩个:1、是寻找新的gadgets。2、weblogic支持的协议比较多,可能存在反序列化RCE的问题。第一个思路挖掘有点难,所以选择了第二个方向,审计基于RMI的JMX服务,weblogic默认会注册一些MBean,如果这些MBean中存在危险代码,外部还可以访问,第一个思路就是审计weblogic中默认注册的MBean中的代码,是否存在危险代码。第二个思路就是像上面weblogic默认注册的MBean对象篡改它的参数为gadget,如果存在JEP 290这样的防御机制,可以通过Asap hook bypass。然而当写出hook bypass工具时,实际问题来了想操纵MBean,前提需要知道管理员的用户名和密码,即使RCE危害也不大。(当时看到了rmi-iiop协议,没深入研究,后面就有人在这块曝洞了。。。
3、柳暗花明
工作陷入僵局,想着RCE是不可能了,挖掘XXE看看能挖到不。当时爆出反序列化XXE的CVE:CVE-2019-2647、CVE-2019-2648、CVE-2019-2649、CVE-2019-2650,直接感觉还有XXE,人工审计太麻烦了,写一款辅助审计的工具。工具思路比较简单就是正则匹配XML解析的库和实现了序列化接口的类都打印出来,人工审计反序列操作有没有问题就可以了。第一个问题weblogic的jar包都是字节码文件需要还原成XXX.java。可以通过jd-gui来还原。下面把源码给出来:
package Search;
import java.io.*;
import java.net.URL;
import java.util.regex.Pattern;
public class JarFileReader {
public static void Test(String jarName,String classname) throws IOException {
URL url1 = new URL("jar:file:"+jarName.replaceAll("\\","/")+"!"+classname);
URL url2 = new URL("jar:file:"+jarName.replaceAll("\\","/")+"!"+classname);
// 标准输入流
try {
InputStream is1 = url1.openStream();
InputStream is2 = url2.openStream();
if (processEvilPackage(is1)&&processReadObject(is2)) {
System.out.println(classname + " this class maybe have XXE!!!!!!!!!");
}
}catch (Exception e)
{
System.out.println(classname + " java.io.FileNotFoundException");
}
}
private static boolean processEvilPackage(InputStream input) throws IOException {
InputStreamReader isr = new InputStreamReader(input);
BufferedReader reader = new BufferedReader(isr);
String line;
//遍历查找库
while ((line = reader.readLine()) != null) {
// System.out.println(line);
if (SearchEvilPackage(line))
{
return true;
}
}
reader.close();
return false;
}
private static boolean processReadObject(InputStream input) throws IOException {
InputStreamReader isr = new InputStreamReader(input);
BufferedReader reader = new BufferedReader(isr);
String line;
//遍历查找库
while ((line = reader.readLine()) != null) {
// System.out.println(line);
if (SearchReadObject(line))
{
return true;
}
}
reader.close();
return false;
}
private static boolean SearchEvilPackage(String line)
{
//表达式
String XXE_Regex = ".*javax.xml.parsers.DocumentBuilderFactory.*|.*javax.xml.parsers.SAXParser.*|.*javax.xml.transform.TransformerFactory.*|.*javax.xml.validation.Validator.*|.*javax.xml.validation.SchemaFactory.*|.*javax.xml.transform.sax.SAXValidator.*|.*javax.xml.transform.sax.SAXSource.*|.*org.xml.sax.XMLReader.*|.*org.xml.sax.helpers.XMLReaderFactory.*|.*org.dom4j.io.SAXReader.*|.*org.jdom.input.SAXBuilder.*|.*org.jdom2.input.SAXBuilder.*|.*javax.xml.bind.Unmarshaller.*|.*javax.xml.xpath.XpathExpression.*|.*javax.xml.stream.XMLStreamReader.*|.*org.apache.commons.digester3.Digester.*|.*javax.xml.transform.stream.StreamSource.*|.*javax.xml.parsers.SAXParserFactory.*|.*javax.xml.ws.EndpointReference.*";
boolean b = Pattern.matches(XXE_Regex, line);
if(b){
return true;
}else
{
return false;
}
}
private static boolean SearchReadObject(String line)
{
//表达式
String Ser_Regex = ".*Externalizable.*|.*Serializable.*|.*readObject.*|.*readExternal.*";
boolean b = Pattern.matches(Ser_Regex, line);
if(b){
return true;
}else
{
return false;
}
}
}
package Search;
import java.io.File;
import java.util.Enumeration;
import java.util.zip.ZipEntry;
import java.util.zip.ZipFile;
import java.util.regex.Pattern;
public class SearchClassInJar {
private String className;
private String className_temp;
private String className_final;
private String jarDir;
private Integer totalNum = 0;
public SearchClassInJar(String className,String jarDir) {
this.className = className;
this.jarDir = jarDir;
}
//将jar中的类文件路径形式改为包路径形式
protected String getClassName(ZipEntry entry) {
StringBuffer className = new StringBuffer(entry.getName().replace('/','.'));
return className.toString();
}
// 从jar从搜索目标类
public void searchClass(boolean recurse) {
searchDir(this.jarDir, recurse);
System.out.println(String.format("[!] Find %s classes",this.totalNum));
System.out.println();
}
//递归搜索目录和子目录下所有jar和zip文件
protected void searchDir(String dir, boolean recurse) {
try {
File d = new File(dir);
if (!d.isDirectory()) {
return;
}
File[] files = d.listFiles();
for (int i = 0; i < files.length; i++) {
if (recurse && files[i].isDirectory()) {
searchDir(files[i].getAbsolutePath(), true);
} else {
String filename = files[i].getAbsolutePath();
if (filename.endsWith(".jar")||filename.endsWith(".zip")) {
System.out.println("---------------------扫描"+filename+"中----------------------------");
ZipFile zip = new ZipFile(filename);
Enumeration entries = zip.entries();
while (entries.hasMoreElements()) {
ZipEntry entry = (ZipEntry) entries.nextElement();
String thisClassName = getClassName(entry);
if (wildcardEquals(this.className.toLowerCase(),thisClassName.toLowerCase()) || wildcardEquals(this.className.toLowerCase() + ".class",thisClassName.toLowerCase())) {
JarFileReader jarFileReader = new JarFileReader();
className_temp = "/"+thisClassName.replaceAll("\.","/");
className_final = className_temp.substring(0,className_temp.length()-5)+".java";
jarFileReader.Test(filename,className_final);
totalNum++;
}
}
}
}
}
} catch (Exception e) {
e.printStackTrace();
}
}
//通配符匹配
private boolean wildcardEquals(String wildcard, String str) {
String regRule = WildcardToReg(wildcard);
return Pattern.compile(regRule).matcher(str).matches();
}
//将通配符转换为正则表达式
private static String WildcardToReg(String path) {
char[] chars = path.toCharArray();
int len = chars.length;
StringBuilder sb = new StringBuilder();
boolean preX = false;
for(int i=0;i<len;i++){
if (chars[i] == '*'){
if (preX){
sb.append(".*");
preX = false;
}else if(i+1 == len){
sb.append("[^/]*");
}else{
preX = true;
continue;
}
}else{
if (preX){
sb.append("[^/]*");
preX = false;
}
if (chars[i] == '?'){
sb.append('.');
}else{
sb.append(chars[i]);
}
}
}
return sb.toString();
}
public static void main(String args[]) {
SearchClassInJar scij = new SearchClassInJar(args[0],args[1]);
//args[0]写 *.java
//args[1]写 C:UsersxxxxxDesktopctf-toolsjd-guiweblogic(反编译好的weblogic.jar路径)
scij.searchClass(true);
}
}
看下扫描结果,CVE-2019-2647、CVE-2019-2648、CVE-2019-2649、CVE-2019-2650这几类都匹配出来了,还额外找到EJBTaglibDescriptor这个类在反序列化时也存在XXE。POC构造看:https://paper.seebug.org/1067/
4、漏洞分析
提交这个洞后,orcle那边说撞洞了,后来把正则改了改,又找到了一个本地触发的XXE有点小鸡肋,算是混个CVE吧。扫出这个类。
/com/octetstring/vde/schema/InitSchema.java触发漏洞是在启动weblogic服务时,在”D:weblogic10wlserver_10.3serverlibschema.core.xml”文件写入
触发漏洞位置
schema.core.xml是写死的
调用栈:
原文链接:https://www.anquanke.com/post/id/199703
- 上一篇:weblogic安装避坑指南
- 下一篇:如何用WebLogic发布多个Web工程
相关推荐
- TCP协议原理,有这一篇就够了
-
先亮出这篇文章的思维导图:TCP作为传输层的协议,是一个软件工程师素养的体现,也是面试中经常被问到的知识点。在此,我将TCP核心的一些问题梳理了一下,希望能帮到各位。001.能不能说一说TC...
- Win10专业版无线网络老是掉线的问题
-
有一位电脑基地的用户,使用...
- 学习计算机网络需要掌握以下几方面基础知识
-
计算机基础知识操作系统:了解常见操作系统(如Windows、Linux)的基本操作和网络配置,例如如何设置IP地址、子网掩码、网关和DNS服务器等,以及如何通过命令行工具(如ping、tr...
- 网络工程师的圣经!世界级网工手绘268张图让TCP/IP直接通俗易懂
-
要把知识通俗地讲明白,真的不容易。——读者说TCP/IP从字面意义上讲,有人可能会认为TCP/IP是指TCP和IP两种协议。实际生活当中有时候也确实就是这两种协议。然而在很多情况下,它只是...
- 三分钟了解通信知识TCP与IP协议(含“通信技术”资料分享)
-
TCP/IPTCP/IP分层模型①应用层...
- 网闸与防火墙:网络安全设备的差异与应用
-
在网络安全领域,网闸(安全隔离网闸,GAP)和防火墙(Firewall)是两类重要的防护设备。尽管它们都服务于网络安全防护,但在设计理念、技术原理、安全效能及适用场景等方面存在显著差异,以下从五个维度...
- S7-300的TCP/IP通信
-
一、首先在项目中创建2个S7-300的站点;二、硬件组态中,设置合适的TCP/IP地址,在同一网段内;...
- 西门子S7-1500 PLC的 MODBUS TCP通信
-
MODBUSTCP使MODBUS_RTU协议运行于以太网,MODBUSTCP使用TCP/IP和以太网在站点间传送MODBUS报文,MODBUSTCP结合了以太网物理网络和网络标准TC...
- 系统规划与管理师新版备考必备:第7章考点思维导图解析
-
备考系统规划与管理师的小伙伴们,福利又来啦!今天为大家带来《系统规划与管理师(第2版)》第7章考点的思维导图,助你高效梳理重点,让备考更有方向!...
- TCP/IP、Http、Socket 有何区别与联系?
-
HTTP协议对应于应用层,Socket则是对TCP/IP协议的封装和应用(程序员层面上)。HTTP是应用层协议,主要解决如何包装数据。而我们平时说的最多的Socket是什么呢?实际上...
- 西门子PLC串口协议与以太网通信协议对比
-
西门子plc品牌众多,通信协议的类型就更多了,具体可分为串口协议和以太网通信协议两大类。...
- 网络编程懒人入门(十三):一泡尿的时间,快速搞懂TCP和UDP的区别
-
本文引用了作者Fundebug的“一文搞懂TCP与UDP的区别”一文的内容,感谢无私分享。1、引言...
- 程序员必备的学习笔记《TCP/IP详解(一)》
-
为什么会有TCP/IP协议在世界上各地,各种各样的电脑运行着各自不同的操作系统为大家服务,这些电脑在表达同一种信息的时候所使用的方法是千差万别。就好像圣经中上帝打乱了各地人的口音,让他们无法合作一样...
- 一文读懂TCP/IP协议工作原理和工作流程
-
简述本文主要介绍TCP/IP协议工作原理和工作流程。含义TCP/IP协议,英文全称TransmissionControlProtocol/InternetProtocol,包含了一系列构成互联网...
- 如何在 Windows 10 和 Windows 11 上重置 TCP/IP 堆栈
-
传输控制协议/Internet协议,通常称为TCP/IP,是您的WindowsPC如何与Internet上的其他设备进行通信的关键部分。但是当事情出错时会发生什么?你如何解决它?幸运的...
欢迎 你 发表评论:
- 一周热门
-
-
前端面试:iframe 的优缺点? iframe有那些缺点
-
带斜线的表头制作好了,如何填充内容?这几种方法你更喜欢哪个?
-
漫学笔记之PHP.ini常用的配置信息
-
其实模版网站在开发工作中很重要,推荐几个参考站给大家
-
推荐7个模板代码和其他游戏源码下载的网址
-
[干货] JAVA - JVM - 2 内存两分 [干货]+java+-+jvm+-+2+内存两分吗
-
正在学习使用python搭建自动化测试框架?这个系统包你可能会用到
-
织梦(Dedecms)建站教程 织梦建站详细步骤
-
【开源分享】2024PHP在线客服系统源码(搭建教程+终身使用)
-
2024PHP在线客服系统源码+完全开源 带详细搭建教程
-
- 最近发表
- 标签列表
-
- mybatis plus (70)
- scheduledtask (71)
- css滚动条 (60)
- java学生成绩管理系统 (59)
- 结构体数组 (69)
- databasemetadata (64)
- javastatic (68)
- jsp实用教程 (53)
- fontawesome (57)
- widget开发 (57)
- vb net教程 (62)
- hibernate 教程 (63)
- case语句 (57)
- svn连接 (74)
- directoryindex (69)
- session timeout (58)
- textbox换行 (67)
- extension_dir (64)
- linearlayout (58)
- vba高级教程 (75)
- iframe用法 (58)
- sqlparameter (59)
- trim函数 (59)
- flex布局 (63)
- contextloaderlistener (56)