Weblogic T3协议白名单绕过方法深度解析<\/h1>

1. T3协议基础交互流程<\/h2>

1.1 协商阶段<\/h3>
Weblogic处理T3基础信息协商的核心类：
weblogic.rjvm.t3.MuxableSocketT3#readIncomingConnectionBootstrapMessage<\/code><\/p>
客户端发送格式<\/strong>：<\/p>
t3 10.3.6
AS: 255
HL: 19
<\/code><\/pre>
服务端响应格式<\/strong>：<\/p>
HELO: 12.2.1.4 . false
AS: 2048
HL: 19
MS: 10000000
PN: DOMAIN
<\/code><\/pre>
关键点：<\/p>

客户端发送的是键值对形式<\/li>
AS和HL是常用头信息（AS建议设置为01以尽可能小）<\/li>
<\/ul>
1.2 信息发送阶段<\/h3>
核心处理类：

weblogic.rjvm.MsgAbbrevInputStream#init<\/code><\/p>
处理流程：<\/p>

初始化并跳过4字节的长度信息<\/li>
读取header信息（weblogic.rjvm.JVMMessage#readHeader<\/code>）<\/li>
标记当前位置并跳过部分内容<\/li>
调用connection.readMsgAbbrevs(this)<\/code>进行反序列化<\/li>
<\/ol>
Header结构<\/strong>（共19字节）：<\/p>

cmd：执行指令，影响处理分支<\/li>
QOS：服务质量标志<\/li>
flags：标志位，影响处理分支<\/li>
responseId：响应ID<\/li>
invokableId：可调用ID<\/li>
abbrevOffset：header长度标识<\/li>
<\/ul>
2. 白名单机制分析<\/h2>
2021年4月补丁后，Weblogic实施了严格的白名单机制，仅允许以下7种类被反序列化：<\/p>

java.lang.String<\/li>
weblogic.rmi.spi.ServiceContext<\/li>
weblogic.rjvm.ClassTableEntry<\/li>
weblogic.rjvm.JVMID<\/li>
weblogic.security.acl.internal.AuthenticatedUser<\/li>
weblogic.rmi.extensions.server.RuntimeMethodDescriptor<\/li>
weblogic.utils.io.Immutable<\/li>
<\/ol>
3. 白名单绕过原理<\/h2>
3.1 关键突破口<\/h3>
在read81Contexts<\/code>方法中存在关键代码段：<\/p>
if<\/span> (<\/span>b ==<\/span> 4<\/span>)<\/span> {<\/span>
<\/span><\/span>    ObjectStreamClass desc =<\/span> this<\/span>.<\/span>readClassDescriptor<\/span>();<\/span>
<\/span><\/span>    Class cl =<\/span> this<\/span>.<\/span>resolveClass<\/span>(<\/span>desc);<\/span>
<\/span><\/span>    weblogic.<\/span>utils<\/span>.<\/span>io<\/span>.<\/span>ObjectStreamClass<\/span> osc =<\/span> weblogic.<\/span>utils<\/span>.<\/span>io<\/span>.<\/span>ObjectStreamClass<\/span>.<\/span>lookup<\/span>(<\/span>cl);<\/span>
<\/span><\/span>    Externalizable e =<\/span> (<\/span>Externalizable)<\/span>osc.<\/span>newInstance<\/span>();<\/span>
<\/span><\/span>    int<\/span> envelopeLength =<\/span> this<\/span>.<\/span>readInt<\/span>();<\/span>
<\/span><\/span>    int<\/span> startEnvelope =<\/span> this<\/span>.<\/span>pos<\/span>();<\/span>
<\/span><\/span>    this<\/span>.<\/span>pushExternalizableInfo<\/span>(<\/span>startEnvelope +<\/span> envelopeLength,<\/span> cl.<\/span>getName<\/span>());<\/span>
<\/span><\/span>    e.<\/span>readExternal<\/span>(<\/span>this<\/span>);<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>绕过要点：<\/p>

readClassDescriptor()<\/code>从ClassTableEntry中读取descriptor属性<\/li>
resolveClass()<\/code>方法只有黑名单检查，没有白名单限制<\/li>
可以实例化实现了Externalizable接口的类并调用其readExternal方法<\/li>
<\/ol>
3.2 绕过限制的关键点<\/h3>


不能直接使用原生readObject<\/strong>：<\/p>

在Externalizable实例的readExternal中调用原生readObject仍会受白名单限制<\/li>
因为使用的是同一个流对象<\/li>
<\/ul>
<\/li>

流转换机制<\/strong>：<\/p>

通过ExternalizableHelper.readObject<\/code>方法可以实现流转换<\/li>
特别是readSerializable<\/code>方法会创建新的WLSObjectInputStream<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
3.3 具体绕过方法<\/h3>

利用ClassTableEntry<\/code>（在白名单中）传递恶意descriptor<\/li>
触发Externalizable<\/code>接口实现类的readExternal<\/code>方法<\/li>
通过ExternalizableHelper.readObject<\/code>创建新的WLSObjectInputStream<\/code><\/li>
在新的流中执行不受限制的反序列化<\/li>
<\/ol>
关键调用栈：<\/p>
ExternalizableHelper.readObject()
  -> getObjectInput()
    -> new WLSObjectInputStream()
<\/code><\/pre>
4. 实现细节与注意事项<\/h2>
4.1 数据构造要点<\/h3>


Header构造<\/strong>：<\/p>

设置适当的flags值以进入read81Contexts<\/code>分支<\/li>
确保abbrevOffset值正确<\/li>
<\/ul>
<\/li>

Payload构造<\/strong>：<\/p>

使用ClassTableEntry<\/code>传递恶意descriptor<\/li>
选择适当的Externalizable<\/code>实现类<\/li>
<\/ul>
<\/li>
<\/ol>
4.2 可用类分析<\/h3>


weblogic.cache.RefWrapper<\/strong>：<\/p>

实现了Externalizable接口<\/li>
但直接使用其readExternal会触发原生readObject<\/li>
<\/ul>
<\/li>

com.tangosol.coherence.servlet.AttributeHolder<\/strong>：<\/p>

使用ExternalizableHelper.readObject<\/li>
可能实现流转换<\/li>
<\/ul>
<\/li>
<\/ol>
4.3 实际利用难点<\/h3>


字节码构造：<\/p>

需要手动修改某些字段<\/li>
程序自身序列化的数据可能无法直接使用<\/li>
<\/ul>
<\/li>

WLSObjectInputStream处理：<\/p>

需要构建符合要求的数据流<\/li>
可能需要深入研究其内部实现<\/li>
<\/ul>
<\/li>
<\/ol>
5. 防御与检测建议<\/h2>
5.1 防御措施<\/h3>

禁用不必要的T3协议<\/li>
及时应用最新补丁<\/li>
实施网络层访问控制<\/li>
<\/ol>
5.2 检测方法<\/h3>

监控异常T3协议流量<\/li>
检查可疑的ClassTableEntry使用<\/li>
关注Externalizable接口的异常调用<\/li>
<\/ol>
6. 总结<\/h2>
本文详细分析了Weblogic T3协议白名单绕过的技术原理，关键在于利用ClassTableEntry传递恶意descriptor，并通过Externalizable接口实现类的readExternal方法触发流转换，最终在新建的WLSObjectInputStream中实现不受限制的反序列化操作。实际利用中需要注意字节码构造和流处理的细节问题。<\/p>