由于是ysoserial的cc链1,这里走invoke, 调用LazyMap.get(“entrySet”);下面的流程就和CVE-2015-4852的复现别无二致。 查看docker情况, 由时间差来看,sss1正是刚刚payload创建的 三、收获与启示 CVE-2016-0638主要还是对CVE-2015-4852的黑名单的绕过,内容上差别不大,所谓差异仅仅是触发点换了一下(由ServerChannel...
可以看到打的两个补丁。 打了补丁之后使用CVE-2015-4852复现不成功,补丁确实有用。 查看weblogic的日志 java.io.InvalidClassException: Unauthorized deserialization attempt; org.apache.commons.collections.functors.ChainedTransformer无效的类,可能是补丁做了反序列化类黑名单校验。 2 补丁里的黑名单 网上的分析文章说...
这里和上一个漏洞类似,将反序列化点转移到了一个新类的内部。 实际上,CVE-2016-3510和CVE-2016-0638的攻击都是基于对黑名单的绕过。 (二)CVE-2016-3510 原理是将反序列化的对象封装进了weblogic.corba.utils.MarshalledObject,然后再对 MarshalledObject进行序列化。当字节流反序列化时 MarshalledObject 不在 WebLogi...
“https://github.com/pwntester/SerialKillerBypassGadgetCollection/blob/master/src/main/java/serialkiller/bypass/Weblogic1.java”,CVE编号为“CVE-2016-0638”。 绕过的相关信息: https://www.tenable.com/security/research/tra-2016-21 https://www.tenable.com/security/research/tra-2016-09 官方在2016年4...
这种方式是我在复现漏洞时尝试 payload 的时候发现的,绕过的方式和CVE-2016-0638有关。 StreamMessageImpl这个点在反序列化的时候没有resolveProxyClass检查。所以可以使用StreamMessageImpl将RemoteObjectInvocationHandler序列化,以此来绕过resolveProxyClass函数。相当于使用CVE-2016-0638的利用方式加上CVE-2017-3248的 paylo...
来到CVE-2016-0638的漏洞触发点,其中859行加入了过滤代码。当执行到865行时,跟进 java.rmi.server.RemoteObjectInvocationHandler被加入黑名单 CVE-2018-2893绕过参考https://xz.aliyun.com/t/2479#toc-2主要是绕过黑名单RemoteObjectInvocationHandler类,这个CVE编号就是: ...
WebLogic反序列化漏洞由于如前所述,其修补模式存在绕过可能性,引起不少圈内人士关注。曾在去年也被曝出过一个CVE-2016-0638漏洞,我们一并做个分析。 关于CVE-2016-0638,2016年4月11日pwntester在github放出了CVE-2016-0638的利用代码,地址:https://github.com/pwntester/SerialKillerBypassGadgetCollection/blob/mast...
漏洞复现报告:CVE-2016-3088 第一部分:搭建docker-ce 和 docker-compose关于docker:docker是一个用Go语言实现的开源项目,可以让我们方便的创建和使用容器,docker将程序以及程序所有的依赖都打包到docker container镜像-复制的程序定义:Docker 镜像可以看作是一个特殊的文件系统,除了提供容器运行时所需的程序、库、资源、...
CVE-2016-0638 复现需要打补丁,找不到懒得打了,简单说一下绕过,不写poc了 黑名单列表为: +org.apache.commons.collections.functors, +com.sun.org.apache.xalan.internal.xsltc.trax, +javassist,+org.codehaus.groovy.runtime.ConvertedClosure, +org.codehaus.groovy.runtime.ConversionHandler, +org.codehaus.gr...
这种方式是我在复现漏洞时尝试 payload 的时候发现的,绕过的方式和CVE-2016-0638有关。 StreamMessageImpl这个点在反序列化的时候没有resolveProxyClass检查。所以可以使用StreamMessageImpl将RemoteObjectInvocationHandler序列化,以此来绕过resolveProxyClass函数。相当于使用CVE-2016-0638的利用方式加上CVE-2017-3248的 paylo...