安全矩阵

 找回密码
 立即注册
搜索
查看: 6846|回复: 0

WebLogic CVE-2020-14756 T3/IIOP 反序列化RCE

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-2-1 22:20:13 | 显示全部楼层 |阅读模式
原文链接:WebLogic CVE-2020-14756 T3/IIOP 反序列化RCE

相关知识点实操-CVE-2020-14882&14883 weblogic未授权访问漏洞

https://www.hetianlab.com/expc.d ... aign=weixin-wemedia            
组合利用 CVE-2020-14882/CVE-2020-14883
可使未经授权的攻击者绕过 WebLogic 后台登录等限制,最终远程执行代码接管 WebLogic 服务器
复现



分析
其借助com.tangosol.io.ExternalizableLite实现序列化反序列化逻辑在coherence包中 com.tangosol.io.ExternalizableLite 存在反序列化接口

在ExternalizableLite中有readObjcet()


readObjectInternal()会根据nType进入不同的反序列化函数


其中nType在writeObject中由getStreamFormat()决定。


代码如下

  1. public static int getStreamFormat(Object o) {
  2.     return o == null ? 0 : (o instanceof String ? 6 : (o instanceof Number ? (o instanceof Integer ? 1 : (o instanceof Long ? 2 : (o instanceof Double ? 3 : (o instanceof BigInteger ? 4 : (o instanceof BigDecimal ? 5 : (o instanceof Float ? 14 : (o instanceof Short ? 15 : (o instanceof Byte ? 16 : 11)))))))) : (o instanceof byte[] ? 8 : (o instanceof ReadBuffer ? 7 : (o instanceof XmlBean ? 12 : (o instanceof ExternalizableHelper.IntDecoratedObject ? 13 : (o instanceof ExternalizableLite ? 10 : (o instanceof Boolean ? 17 : (o instanceof Serializable ? 11 : (o instanceof Optional ? 22 : (o instanceof OptionalInt ? 23 : (o instanceof OptionalLong ? 24 : (o instanceof OptionalDouble ? 25 : (o instanceof XmlSerializable ? 9 : 255))))))))))))));
  3. }
复制代码

10对应的是实现了ExternalizableLite接口的类。继续跟进readExternalizableLite(),其使用loadClass进行加载类,不受weblogic黑名单限制。


那么现在就可以调用黑名单类中的 readExternal 方法,作者使用的是之前漏洞中使用过的com.tangosol.coherence.rest.util.extractor.MvelExtractor,它实现了ExternalizableLite接口。
在其MvelExtractor的readExternal()中进行了m_sExpr表达式赋值,而m_sExpr是可控的。


那么只需要触发extract方法就行了。


现在就在于如何触发extract方法。找到com.tangosol.util.aggregator.TopNAggregator.PartialResult类,在他的readExternal()中

会自动触发this.instantiateInternalMap(this.m_comparator)


这里返回一个map,而其中的comparator可控为我们的MvelExtractor。回头再看上图for循环中的this.add(ExternalizableHelper.readObject(in))
add()方法


跟进 super.add(value) com.tangosol.util.SortedBag#add


从自身拿到一个map


然后进行map.put,跟进java.util.TreeMap#put


然后

这里进入到MvelExtractor父类的com.tangosol.util.extractor.AbstractExtractor#compare方法,调用了extract方法。


然后就成了,但是还有个问题,com.tangosol.util.aggregator.TopNAggregator.PartialResult类并没有实现ExternalizableLite接口,因此readExternal在反序列化时不会被触发,所以需要寻找一个实现了Externalizable接口的类,并能调用ExternalizableHelper.readObject方法。
找到com.tangosol.coherence.servlet.AttributeHolder#readExternal(java.io.DataInput)


在其readExternal调用了ExternalizableHelper.readObject,可以触发PartialResult的readExternal。
堆栈



EXP

见我的GitHub[1]

思考
​在com.tangosol.util.ExternalizableHelper#readObjectInternal中nType有多种类型

其他的case应该也有漏洞吧
参考
1.https://mp.weixin.qq.com/s/E-4wjbKD-iSi0CEMegVmZQ
















回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 19:39 , Processed in 0.012750 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表