Weblogic IIOP Gadget挖掘与分析<\/h1>

前言<\/h2>
本文记录了一次针对Weblogic IIOP协议的反序列化漏洞挖掘过程，虽然最终因补丁问题未能成功利用，但整个思路和过程具有很高的学习价值。文章详细分析了从sink点发现到构造利用链的全过程，并探讨了T3与IIOP协议在反序列化时的差异。<\/p>

关键知识点<\/h2>

1. Sink点分析<\/h3>

核心sink点<\/strong>：com.tangosol.coherence.transaction.internal.storage.KeyBackingMap#put<\/code><\/p>

当this.m_context<\/code>是ReplicatedCache$BackingMapContext<\/code>时，反序列化会进入：<\/p> BackingMapContext#getValueFromInternalConverter<\/code><\/li> getConverterFromInternal<\/code><\/li> <\/ul> <\/li> this.__m_ConverterFromInternal<\/code>是transient<\/code>的，反序列化时为空<\/p> <\/li> 逻辑会创建新的converter<\/code>并调用convert<\/code>方法转换受控的oVal<\/code>对象<\/p> <\/li> <\/ul> Converter分析<\/strong>：<\/p> 类型固定为ReplicatedCache$ConverterFromInternal<\/code><\/li> 这是一个二阶反序列化类型的sink点<\/li> <\/ul> 2. Gadget构造<\/h3> 2.1 利用链补全<\/h4> 使用常见source点自动化扫描<\/li> 找到可利用的source点后，结合BadAttributeValueExpException<\/code>前半段完成利用链<\/li> <\/ol> 2.2 Javaassit的妙用<\/h4> 问题<\/strong>：com.tangosol.coherence.component.util.daemon.queueProcessor.Service<\/code>类实现了Serializable<\/code>但官方不希望它被序列化<\/p> 解决方案<\/strong>：<\/p> 使用Javaassit强行修改writeObject<\/code>方法为$1.defaultWriteObject();<\/code><\/li> <\/ul> 其他应用<\/strong>：<\/p> 简化payload构造：可以审计代码后用Javaassit移除无用逻辑<\/li> 示例：KeyBackingMap<\/code>构造方法中的context.getCacheService().getInfo().getServiceName()<\/code>调用链可以简化<\/li> <\/ul> 3. T3与IIOP协议差异<\/h3> 3.1 T3协议<\/h4> 成功利用未打补丁的Weblogic<\/li> 最新补丁后失败原因：Oracle为T3添加了ABBREV_CLASSES<\/code>白名单<\/li> <\/ul> 3.2 IIOP协议<\/h4> 失败原因分析<\/strong>：<\/p> 反序列化时序问题：<\/p> 即使设置了__m_MessageClassMap<\/code>，在逻辑执行时成员变量还未被赋值<\/li> IIOP进入readObjectOverride<\/code>而非readObject0<\/code>，导致depth<\/code>始终为0<\/li> <\/ul> <\/li> 异常处理差异：<\/p> IIOP反序列化Component<\/code>时registerValidation<\/code>抛出异常<\/li> 进入T3情况下不会进入的validateObject<\/code><\/li> <\/ul> <\/li> <\/ol> 3.3 解决方案思路<\/h4> "转换"思路：将IIOP"转换"为正常流后再利用<\/p> 参考历史漏洞CVE-2016-3510的实现方式<\/li> <\/ul> 4. 补丁分析<\/h3> 失败根本原因<\/strong>：<\/p> 测试时少打了一个关键补丁<\/li> 补丁前：fromBinary<\/code>可利用<\/li> 补丁后：this.setFilter<\/code>默认为true<\/code>，fromBinary<\/code>加了黑名单<\/li> <\/ul> 技术细节深入<\/h2> 1. 反序列化时序问题<\/h3> 在IIOP协议下，反序列化过程：<\/p> 进入readObjectOverride<\/code>而非常规的readObject0<\/code><\/li> 导致depth<\/code>计数器始终为0<\/li> 触发Component<\/code>类的验证机制异常<\/li> 进入非常规的validateObject<\/code>流程<\/li> <\/ol> 2. T3白名单绕过可能性<\/h3> 虽然文章提到"空白太小写不下"，但暗示T3白名单是可以绕过的，可能的思路包括：<\/p> 利用白名单内的类进行代理或包装<\/li> 通过反射或其他机制动态加载类<\/li> 结合其他协议或功能进行间接利用<\/li> <\/ul> 经验总结<\/h2> 补丁验证<\/strong>：漏洞测试时必须确保测试环境补丁状态与目标一致<\/li> 协议差异<\/strong>：T3和IIOP在反序列化实现上有本质差异，不能简单等同<\/li> 工具辅助<\/strong>：Javaassit等字节码操作工具在复杂gadget构造中非常有用<\/li> 历史漏洞参考<\/strong>：CVE-2016-3510等历史漏洞的利用思路可以复用于新场景<\/li> <\/ol> 后续研究方向<\/h2> 深入分析IIOP和T3协议在反序列化机制上的具体差异<\/li> 探索T3白名单的绕过方法<\/li> 研究Weblogic补丁机制，寻找可能的补丁绕过方式<\/li> 探索其他可能的sink点和利用链<\/li> <\/ol> 参考实现代码片段<\/h2> \/\/ Javaassit修改Service类的示例代码 <\/span><\/span><\/span><\/span>ClassPool pool =<\/span> ClassPool.<\/span>getDefault<\/span>();<\/span> <\/span><\/span>CtClass cc =<\/span> pool.<\/span>get<\/span>(<\/span>"com.tangosol.coherence.component.util.daemon.queueProcessor.Service"<\/span>);<\/span> <\/span><\/span>CtMethod m =<\/span> cc.<\/span>getDeclaredMethod<\/span>(<\/span>"writeObject"<\/span>);<\/span> <\/span><\/span>m.<\/span>setBody<\/span>(<\/span>"{$1.defaultWriteObject();}"<\/span>);<\/span> <\/span><\/span>cc.<\/span>toClass<\/span>();<\/span> <\/span><\/span><\/code><\/pre>\/\/ 简化KeyBackingMap构造的示例思路 <\/span><\/span><\/span>\/\/ 原复杂调用链：context.getCacheService().getInfo().getServiceName() <\/span><\/span><\/span>\/\/ 可替换为固定字符串或简化逻辑 <\/span><\/span><\/span><\/code><\/pre>结论<\/h2> 虽然这次漏洞挖掘因补丁问题未能最终成功，但整个过程展示了Weblogic反序列化漏洞挖掘的完整思路和方法论，对安全研究人员具有很高的参考价值。特别是对IIOP和T3协议差异的分析，为后续类似漏洞的挖掘提供了重要启示。<\/p>