现在来进行一遍流程分析,先看下之前的整个调用栈 POC伪造的T3协议数据包,发送到服务器,服务器反序列化处理到了InboundMsgAbbrev#readObject方法中 switch分发节点,到了case0中,调用了(new InboundMsgAbbrev.ServerChannelInputStream(in))的readObject方法来进行的反序列化 计算得出为InboundMsgAbbrev类中的一个内部类S...
CVE-2016-0638漏洞就是依据这个思路找到了weblogic.jms.common.StreamMessageImpl类,其中的readExternal()方法也符合攻击的需求。攻击者可以在其中构造一个恶意的ObjectInputStream来实现payload内部的InputStream创建,调用readObject()方法,实现攻击。 StreamMessageImpl类漏洞代码位置如下: 先看一下poc是怎么生成的,从下面参...
现在来进行一遍流程分析,先看下之前的整个调用栈 POC伪造的T3协议数据包,发送到服务器,服务器反序列化处理到了InboundMsgAbbrev#readObject方法中 switch分发节点,到了case0中,调用了(new InboundMsgAbbrev.ServerChannelInputStream(in))的readObject方法来进行的反序列化...
CVE-2016-0638 复现需要打补丁,找不到懒得打了,简单说一下绕过,不写poc了 黑名单列表为: +org.apache.commons.collections.functors, +com.sun.org.apache.xalan.internal.xsltc.trax, +javassist,+org.codehaus.groovy.runtime.ConvertedClosure, +org.codehaus.groovy.runtime.ConversionHandler, +org.codehaus.gr...
官方在2016年4月的补丁更新修复了“CVE-2016-0638”,补丁地址: http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html 如果您的Weblogic只更新了2015年的11月Oracle发布的补丁,您的Weblogic可能面临代码执行攻击的风险。 建议没有更新2016年4月以后的补丁的Weblogic,应尽快更新2016年4月以后...
之前查了一下发现部分 POC 无法使用。在这个项目里面对脚本做了一些修改,提高准确率。 注意:部分漏洞由于稳定性原因需要多次测试才可验证 目前可检测漏洞编号有(部分非原理检测,需手动验证): weblogic administrator console CVE-2014-4210 CVE-2016-0638 CVE-2016-3510 CVE-2017-3248 CVE-2017-3506 CVE-2017-...
之前查了一下发现部分 POC 无法使用。在这个项目里面对脚本做了一些修改,提高准确率。 注意:部分漏洞由于稳定性原因需要多次测试才可验证 目前可检测漏洞编号有(部分非原理检测,需手动验证): weblogic administrator console CVE-2014-4210 CVE-2016-0638 CVE-2016-3510 CVE-2017-3248 CVE-2017-3506 CVE-2017-...
PoC里用的是getDatabaseMetaData,到此,我们看看PoC对应的代码, UniversalExtractor extractor = new UniversalExtractor("getDatabaseMetaData()", null, 1); final ExtractorComparator comparator = new ExtractorComparator(extractor); JdbcRowSetImpl rowSet = new JdbcRowSetImpl(); rowSet.setDataSourceName("lda...
启明星辰 ADLab 通过对本漏洞的深度分析,构造了对应的POC并测试验证成功,具体验证情况如下: 测试环境:WebLogicServer 10.3.6.0.160719 ,已经打了“Patch 23094342”补丁。 测试过程:使用自制漏洞利用工具对测试系统进行漏洞利用测试。 第一步:监听JRMP协议端口 ...
其实就是由ServerChannelInputStream换到了自身的ReadExternal#InputStream,这一个 bypass 也被收录为 CVE-2016-0638;后续会对这一个漏洞进行分析。 0x06 小结 从原理角度上来说还是比较简单的,不过理解 T3 的传输,并且构造恶意 PoC 的过程是非常值得学习的,CVE-2015-4852 为一些类似的攻击提供了思路。