首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

CVE-2018-2628 Weblogic序列化POC重构详解

01 背景 Oracle官方在修补老的Weblogic序列化漏洞时,将已经在互联网上暴露的PoC都加入了黑名单,所以若是绕过他的黑名单限制就依旧可以触发命令执行。...接下来我们简单分析一下本次漏洞的成因,具体的weblogic序列化漏洞原理这里不做具体分析,之后可以分享一次专题。...其实核心部分就是JRMP(Java Remote Methodprotocol),在这个PoC中会序列化一个RemoteObjectInvocationHandler,它会利用UnicastRef建立到远端的...02 PoC重构 由于互联网上公开的poc,是通过服务器向rmi远程服务器获取命令执行代码从而执行命令并通过t3协议的回报告诉我们是否存在漏洞。...但是这样的poc有很明显存在不能控制权限的问题。

1.4K50

浅析weblogic序列化漏洞

先引用一下奇安信团队发出的weblogic历史漏洞图,可以发现以反序列化为主,反序列化问题主要来自XMLDecoder和T3协议 image.png T3协议 weblogic t3协议就是weblogic...jdk1.7,weblogic10.3.6.0 用cc链1,3,6都能打。 这个洞可以说是weblogic序列化漏洞的源头了。...这个方法的作用是类的序列化描述符加工成该类的Class对象,很多针对反序列化Gadget的拦截都是通过重写此方法完成的(如通过黑名单来禁止某类反序列化) 贴上一张廖师傅的博客的反序列化攻击时序图: 可以看到反序列化拦截位置除了...CVE-2017-3506&CVE-2017-10271 影响范围 WebLogic 10.3.6.0 WebLogic 12.1.3.0 WebLogic 12.2.1.0 WebLogic 12.2.1.1...WebLogic 12.2.1.2 该漏洞利用weblogic的wls-wsat组件对XML用XMLDecoder进行解析的功能,从而对其传入恶意XML数据造成反序列化攻击。

4.7K11
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    第17篇:Shiro反序列化Weblogic下无利用链的拿权限方法

    Weblogic序列化漏洞大致是通过T3、IIOP协议发送一个序列化数据包,相关类只要不在weblogic黑名单中,服务器就反序列化恶意代码执行攻击语句。...同样,这个序列化数据包用shiro组件来处理,只要中间件是weblogic,也应该能反序列化成功。而且通过构造的反序列化数据包不通过T3、IIOP流程,也许还不受Weblogic黑名单的限制。...反序列化利用链的选择 Weblogic的Coherence组件反序列化漏洞的POC有好几个,主要包括CVE-2020-2555、CVE-2020-2883、CVE-2020-14756、CVE-2021...工具来生成shiro反序列化poc。...如果使用weblogic利用链打不成功,那可能是目标weblogic更新了补丁,需要换一个较新的POC,实在不行,如果服务器的JDK版本低于1.8.191,可以用jndi出网的方法反弹shell。

    2K20

    CVE-2016-3510:Weblogic序列化

    Step 9:在我们的攻击主机中再次执行载荷发现已经无效了(此处的test.ser为通过ysoserial生成的cc1链calc序列化数据文件) python2 weblogic_t3.py 192.168.174.144...,之后再通过调用readObject()方法进行反序列化的数据的读取,这样一来我们就可以反序列化,CVE-2016-0638正是基于这样的思路找到了weblogic.jms.common.StreamMessageImpl...,下面进行详细分析~ 漏洞原理 该漏洞实现反序列化的思路是将反序列化的对象封装进weblogic.corba.utils.MarshalledObject,然后再对MarshalledObject进行序列化...,生成payload字节码,反序列化时MarshalledObject不在WebLogic黑名单中,所以可正常进行反序列化,而在反序列化时MarshalledObject对象再调用readObject时对...MarshalledObject封装的序列化对象再次反序列化,从而逃过了黑名单的检查。

    2K20

    第17篇:Shiro反序列化Weblogic下无利用链的拿权限方法

    Weblogic序列化漏洞大致是通过T3、IIOP协议发送一个序列化数据包,相关类只要不在weblogic黑名单中,服务器就反序列化恶意代码执行攻击语句。...同样,这个序列化数据包用shiro组件来处理,只要中间件是weblogic,也应该能反序列化成功。而且通过构造的反序列化数据包不通过T3、IIOP流程,也许还不受Weblogic黑名单的限制。...反序列化利用链的选择 Weblogic的Coherence组件反序列化漏洞的POC有好几个,主要包括CVE-2020-2555、CVE-2020-2883、CVE-2020-14756、CVE-2021...工具来生成shiro反序列化poc。...如果使用weblogic利用链打不成功,那可能是目标weblogic更新了补丁,需要换一个较新的POC,实在不行,如果服务器的JDK版本低于1.8.191,可以用jndi出网的方法反弹shell。

    1.4K30

    Weblogic序列化历史漏洞全汇总

    ac ed 00 05是java序列化内容的特征,漏洞挖掘人员通常对 weblogic 在 7001 端口的 T3 协议进行抓包,发现流量中有 java 反序列化之后数据的 Magic ac ed 00...4、Weblogic序列化漏洞汇总 Weblogic序列化高危漏洞主要涉及到两个种类: 1、利用xml decoded反序列化进行远程代码执行的漏洞,例如: CVE-2017-10271,CVE-2017...图中红框内的代码是限制CVE-2017-3506漏洞利用的黑名单,这次补丁修补得非常的简陋,仅仅是根据POC中的object标签进行了修补,所以很快就出现了CVE-2017-10271漏洞。...CVE-2017-10271的POC与CVE-2017-3506的POC很相似,只是将object标签换成了array或void等标签,即可触发远程代码执行漏洞。...漏洞验证 分析: https://security.tencent.com/index.php/blog/msg/97 Poc: https://github.com/fjserna/CVE-2015-

    7.6K30

    WebLogic CVE-2019-2647~2650 XXE漏洞分析

    ELEMENT data (#PCDATA)> ]> 4 运行PoC,生成的反序列化数据xxe,使用十六进制查看器打开: 发现DOCTYPE无法被引入 我尝试了下面几种方法...首先复制出Weblogic的modules文件夹与wlserver_10.3\server\lib文件夹到另一个目录,将wlserver_10.3\server\lib\weblogic.jar解压,将...ENTITY % send SYSTEM 'ftp://127.0.0.1:2121/%file;'>" > %all; 运行PoC生成反序列化数据,测下发现请求都接收不到了......所以我尝试修改了十六进制如下,使得xml修改成没有被解析的形式: 运行PoC测试下, 居然成功了,一开始以为反序列化生成的xml数据那块还会进行校验,不然反序列化不了,直接修改数据是不行的,没想到直接修改就可以了...测试下(生成的步骤与第一个漏洞点一样),使用T3协议脚本向WebLogic 7001端口发送序列化数据: WsrmSequenceContext 漏洞点分析 这个类看似需要构造的东西挺多的,readExternal

    1K30

    附nmap检测脚本 | Weblogic组件存在反序列化漏洞及解决方法

    1 漏洞描述 近日,互联网爆出WebLogicwls9-async反序列化远程命令执行漏洞。攻击者利用该漏洞,可在未授权的情况下远程执行命令。该漏洞危害程度为高危(High)。...漏洞原理 该漏洞存在于wls9-async组件,该组件为异步通讯服务,攻击者可以在/_async/AsyncResponseService路径下传入恶意的xml格式的数据,传入的数据在服务器端反序列化时...该请求返回200 则存在,返回404则不存在 发送构造的POC ? ?...只能打未安装补丁的版本 但是由于这个poc和2017年的一样 去年的Weblogic补丁已经把这几个标签补了,打了补丁的已经不能生成java实例了 但是没有打补丁的还是可以测试的 参考下面这个文章即可...WebLogic XMLDecoder反序列化漏洞 http://xxlegend.com/2017/12/23/Weblogic%20XMLDecoder%20RCE%E5%88%86%E6%9E%

    2K30

    Weblogic12c T3 协议安全漫谈

    基于代码的漏洞介绍:CVE-2020-2555主要源于在coherence.jar存在着用于gadget构造的类(反序列化构造类),并且利用weblogic默认存在的T3协议进行传输和解析进而导致weblogic...weblogic发送的JAVA序列化数据的第二到九部分的JAVA序列化数据的任意一个替换为恶意的序列化数据。...•第二种生成方式为,将weblogic发送的JAVA序列化数据的第一部分与恶意的序列化数据进行拼接。...根据堆栈信息,Weblogic收到POC的数据后,对其进行分发后对T3的数据段部分进行了反序列化还原操作,进而产生了该漏洞的入口。...POC逻辑 在POC构造上,先初始化JDBC对象,设置this.m_sName参数为getDatabaseMetaData() JdbcRowSetImpl rowSet = new JdbcRowSetImpl

    1.1K10

    修而未复:说说WebLogic那修不完的Java反序列化漏洞

    编者说明:这篇文章初稿写在Oracle CPU补丁发布之后,考虑到文章内容的影响,并未在当时发布,WebLogic 的 Java 反序列化漏洞,已经修复了多次,最终的修复仍然未彻底解决问题。...背景 当地时间4月17日,北京时间4月18日凌晨,Oracle官方如约发布了4月份的关键补丁更新(Critical Patch Update,简称:CPU),其中包含一个高危的Weblogic序列化漏洞...CVE-2018-2628漏洞POC测试 4月18日一大早看到了绿盟发的通知,里面有poc和exp的演示过程: ?...Oracle发布的多个WebLogic序列化漏洞补丁反复被绕过,这都源于Oracle当年修复CVE-2015-4852那个轰动一时的Java反序列化漏洞时采用的黑名单方式。 ?...CVE-2018-2628漏洞利用方式分析 从POC测试用例来看,CVE-2018-2628漏洞可被利用主要暴漏出了两方面的问题: ①基于WebLogic t3(s)、RMI/JRMP协议来执行存在反序列化漏洞的

    1.4K60
    领券