WebLogic CVE-2016-0638漏洞分析与利用指南<\/h1>

0x00 漏洞概述<\/h2>
CVE-2016-0638是WebLogic服务器中的一个反序列化漏洞，它是对CVE-2015-4852漏洞补丁的绕过。该漏洞允许攻击者通过T3协议发送恶意序列化数据，在目标服务器上执行任意代码。<\/p>

0x01 环境搭建<\/h2>

补丁环境搭建<\/h3>

使用WebLogic 10.3.6环境<\/li>

需要安装两个补丁包：

p20780171_1036_Generic<\/li>
p22248372_1036012_Generic<\/li>

(注：p21984589_1036_Generic是这两个补丁的集成版)<\/li> <\/ul> <\/li> <\/ol>

安装步骤：<\/strong><\/p>

# 将补丁包复制到容器中<\/span>
<\/span><\/span>docker cp ..\/p20780171_1036_Generic weblogic1036jdk7u21:\/p20780171_1036_Generic
<\/span><\/span>docker cp ..\/p22248372_1036012_Generic weblogic1036jdk7u21:\/p22248372_1036012_Generic
<\/span><\/span>
<\/span><\/span># 进入容器<\/span>
<\/span><\/span>docker exec -it weblogic1036jdk7u21 \/bin\/bash
<\/span><\/span>
<\/span><\/span># 设置补丁安装环境<\/span>
<\/span><\/span>cd \/u01\/app\/oracle\/middleware\/utils\/bsu
<\/span><\/span>mkdir cache_dir
<\/span><\/span>vi bsu.sh  # 编辑MEM_ARGS参数为1024<\/span>
<\/span><\/span>
<\/span><\/span># 安装第一个补丁<\/span>
<\/span><\/span>cp \/p20780171_1036_Generic\/* cache_dir\/
<\/span><\/span>.\/bsu.sh -install -patch_download_dir=<\/span>\/u01\/app\/oracle\/middleware\/utils\/bsu\/cache_dir\/ -patchlist=<\/span>EJUW -prod_dir=<\/span>\/u01\/app\/oracle\/middleware\/wlserver\/
<\/span><\/span>
<\/span><\/span># 安装第二个补丁<\/span>
<\/span><\/span>cp \/p22248372_1036012_Generic\/* cache_dir\/
<\/span><\/span>.\/bsu.sh -install -patch_download_dir=<\/span>\/u01\/app\/oracle\/middleware\/utils\/bsu\/cache_dir\/ -patchlist=<\/span>ZLNA -prod_dir=<\/span>\/u01\/app\/oracle\/middleware\/wlserver\/ --verbose
<\/span><\/span>
<\/span><\/span># 重启WebLogic服务<\/span>
<\/span><\/span>\/u01\/app\/oracle\/Domains\/ExampleSilentWTDomain\/bin\/startWebLogic.sh
<\/span><\/span><\/code><\/pre>远程调试准备<\/h3>
# 从容器中复制必要的库文件<\/span>
<\/span><\/span>mkdir wlserver1036
<\/span><\/span>mkdir coherence_3.7
<\/span><\/span>docker cp weblogic1036jdk7u21:\/u01\/app\/oracle\/middleware\/modules .\/wlserver1036
<\/span><\/span>docker cp weblogic1036jdk7u21:\/u01\/app\/oracle\/middleware\/wlserver\/server\/lib .\/wlserver1036
<\/span><\/span>docker cp weblogic1036jdk7u21:\/u01\/app\/oracle\/middleware\/coherence_3.7\/lib .\/coherence_3.7\/lib
<\/span><\/span><\/code><\/pre>0x02 补丁分析<\/h2>
补丁主要修改了以下类：<\/p>

weblogic.rjvm.InboundMsgAbbrev.class :: ServerChannelInputStream<\/li>
weblogic.rjvm.MsgAbbrevInputStream.class<\/li>
weblogic.iiop.Utils.class<\/li>
<\/ul>
黑名单机制<\/h3>
补丁在resolveClass<\/code>方法中添加了黑名单检查：<\/p>
if<\/span> (<\/span>className !=<\/span> null<\/span> &&<\/span> className.<\/span>length<\/span>()<\/span> ><\/span> 0<\/span> &&<\/span> ClassFilter.<\/span>isBlackListed<\/span>(<\/span>className))<\/span> {<\/span>
<\/span><\/span>    throw<\/span> new<\/span> InvalidClassException(<\/span>"Unauthorized deserialization attempt"<\/span>,<\/span> className);<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>黑名单列表（存储在ClassFilter<\/code>类中）：<\/p>

org.apache.commons.collections.functors<\/li>
com.sun.org.apache.xalan.internal.xsltc.trax<\/li>
javassist<\/li>
org.codehaus.groovy.runtime.ConvertedClosure<\/li>
org.codehaus.groovy.runtime.ConversionHandler<\/li>
org.codehaus.groovy.runtime.MethodClosure<\/li>
<\/ul>
黑名单可以通过以下系统属性配置：<\/p>

weblogic.rmi.disableblacklist<\/code><\/li>
weblogic.rmi.disabledefaultblacklist<\/code><\/li>
<\/ul>
0x03 漏洞利用原理<\/h2>
绕过思路<\/h3>

寻找一个不在黑名单中的类，该类在readObject<\/code>或readExternal<\/code>方法中会创建自己的ObjectInputStream<\/code>对象<\/li>
将恶意序列化数据封装在这个类的对象中<\/li>
当这个类被反序列化时，它会反序列化封装的数据，从而绕过黑名单检查<\/li>
<\/ol>
关键类：weblogic.jms.common.StreamMessageImpl<\/h3>
StreamMessageImpl<\/code>类的readExternal<\/code>方法可以接收序列化数据作为参数，并在内部进行反序列化操作。由于StreamMessageImpl<\/code>本身不在黑名单中，可以绕过补丁的防护。<\/p>
利用流程：<\/p>

将反序列化对象封装进StreamMessageImpl<\/code><\/li>
对StreamMessageImpl<\/code>进行序列化，生成payload<\/li>
通过T3协议发送payload<\/li>
服务器反序列化StreamMessageImpl<\/code>对象<\/li>
StreamMessageImpl<\/code>调用readExternal<\/code>方法反序列化封装的恶意对象<\/li>
执行恶意代码<\/li>
<\/ol>
0x04 漏洞利用工具分析<\/h2>
使用weblogic_cmd<\/code>工具生成payload：<\/p>

工具首先生成Commons Collections利用链的payload<\/li>
将payload封装到StreamMessageImpl<\/code>对象中<\/li>
对StreamMessageImpl<\/code>对象进行序列化<\/li>
构造T3协议数据包发送payload<\/li>
<\/ol>
关键代码路径：<\/p>

SerialDataGenerator.serialBlindDatas<\/code> - 生成序列化数据<\/li>
BypassPayloadSelector.selectBypass<\/code> - 选择绕过方式<\/li>
Serializables.serialize<\/code> - 序列化操作<\/li>
StreamMessageImpl.setDataBuffer<\/code> - 封装payload<\/li>
<\/ol>
0x05 漏洞验证与调试<\/h2>
调试步骤<\/h3>

在weblogic.rjvm.InboundMsgAbbrev.ServerChannelInputStream.resolveClass<\/code>设置断点<\/li>
观察传入的className<\/code>参数应为weblogic.jms.common.StreamMessageImpl<\/code><\/li>
在StreamMessageImpl.readExternal<\/code>设置断点<\/li>
观察反序列化过程：

首先反序列化StreamMessageImpl<\/code>对象<\/li>
然后StreamMessageImpl<\/code>内部反序列化封装的恶意对象<\/li>
最终触发恶意代码执行<\/li>
<\/ul>
<\/li>
<\/ol>
0x06 防护措施<\/h2>

及时安装官方发布的最新补丁<\/li>
限制T3协议的访问（可通过防火墙或WebLogic配置）<\/li>
监控异常的反序列化操作<\/li>
考虑使用Java安全管理器限制敏感操作<\/li>
<\/ol>
参考链接<\/h2>

https:\/\/xz.aliyun.com\/t\/8443<\/li>
https:\/\/www.anquanke.com\/post\/id\/224343<\/li>
<\/ol>

WebLogic CVE-2016-0638漏洞分析与利用指南<\/h1>

0x00 漏洞概述<\/h2> CVE-2016-0638是WebLogic服务器中的一个反序列化漏洞，它是对CVE-2015-4852漏洞补丁的绕过。该漏洞允许攻击者通过T3协议发送恶意序列化数据，在目标服务器上执行任意代码。<\/p>

0x01 环境搭建<\/h2>

0x03 漏洞利用原理<\/h2>

0x05 漏洞验证与调试<\/h2>

参考链接<\/h2> https:\/\/xz.aliyun.com\/t\/8443<\/li> https:\/\/www.anquanke.com\/post\/id\/224343<\/li> <\/ol>

0x00 漏洞概述<\/h2>
CVE-2016-0638是WebLogic服务器中的一个反序列化漏洞，它是对CVE-2015-4852漏洞补丁的绕过。该漏洞允许攻击者通过T3协议发送恶意序列化数据，在目标服务器上执行任意代码。<\/p>

参考链接<\/h2>

https:\/\/xz.aliyun.com\/t\/8443<\/li>
https:\/\/www.anquanke.com\/post\/id\/224343<\/li> <\/ol>