温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

发布时间:2020-08-07 23:51:21 来源:ITPUB博客 阅读:200 作者:酷酷的晓得哥 栏目:安全技术

作者:Longofo@知道创宇404实验室
时间:2019年10月16日

原文链接: https://paper.seebug.org/1067/

这个漏洞和之前@Matthias Kaiser提交的几个XXE漏洞是类似的,而 EJBTaglibDescriptor应该是漏掉的一个,可以参考之前几个XXE的 分析。我和@Badcode师傅反编译了WebLogic所有的Jar包,根据之前几个XXE漏洞的特征进行了搜索匹配到了这个EJBTaglibDescriptor类,这个类在反序列化时也会进行XML解析。

Oracle发布了10月份的补丁,详情见链接( https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html)

环境

  • Windows 10
  • WebLogic 10.3.6.0.190716(安装了19年7月补丁)
  • Jdk160_29(WebLogic 自带的JDK)

漏洞分析

weblogic.jar!\weblogic\servlet\ejb2jsp\dd\EJBTaglibDescriptor.class这个类继承自 java\io\Externalizable

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

因此在序列化与反序列化时会自动调用子类重写的 writeExternalreadExternal

看下 writeExternal的逻辑与 readExternal的逻辑,

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

readExternal中,使用 ObjectIutput.readUTF读取反序列化数据中的String数据,然后调用了load方法,

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

在load方法中,使用 DocumentBuilder.parse解析了反序列化中传递的XML数据,因此这里是可能存在XXE漏洞的

writeExternal中,调用了本身的 toString方法,在其中又调用了自身的 toXML方法

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

toXML的作用应该是将 this.beans转换为对应的xml数据。看起来要构造payload稍微有点麻烦,但是序列化操作是攻击者可控制的,所以我们可以直接修改 writeExternal的逻辑来生成恶意的序列化数据:

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

漏洞复现

1、重写  EJBTaglibDescriptor中的 writeExternal函数,生成payload

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

2、发送payload到服务器

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

在我们的HTTP服务器和FTP服务器接收到了my.dtd的请求与win.ini的数据

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

3、在打了7月份最新补丁的服务器上能看到报错信息

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

参考链接:

[1] 分析:  https://paper.seebug.org/906/

[2]   https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

如需转载请注明来源。

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI