Weblogic IIOP协议NAT网络绕过技术深度解析<\/h1>

一、背景与概述<\/h2>
Weblogic服务器在企业环境中广泛使用，但在渗透测试过程中，通过IIOP协议发送序列化恶意代码包时，经常会遇到由于NAT网络环境导致的通信失败问题。本文深入分析Weblogic IIOP协议在NAT环境下的绕过技术，提供三种有效的解决方案。<\/p>

二、核心协议解析<\/h2>

1. 相关协议定义<\/h3>

RMI<\/strong>：远程方法调用，Java实现的RPC服务，底层使用JRMP协议<\/li>
CORBA<\/strong>：跨语言通信体系结构，支持C++、Java等<\/li>
GIOP<\/strong>：通用ORB间协议，定义传输语法和通信格式标准<\/li>
IIOP<\/strong>：基于TCP\/IP的GIOP实现，CORBA对象间通信协议<\/li>
RMI-IIOP<\/strong>：整合RMI和CORBA\/IIOP的技术方案<\/li>
Weblogic IIOP<\/strong>：Weblogic自实现的RMI-IIOP协议<\/li>

T3<\/strong>：Weblogic特有的RMI数据传输协议<\/li> <\/ul>
2. 协议关系<\/h3>
在Weblogic中，T3协议和IIOP协议都可以用于序列化攻击。由于RMI-IIOP可以兼容RMI和IIOP，因此所有可以通过T3协议发起的序列化攻击都可以通过IIOP协议实现。<\/p>
三、IIOP序列化攻击流程<\/h2>
1. 标准攻击流程<\/h3>

构建恶意序列化代码<\/li>
初始化上下文实例<\/li>
通过bind\/rebind发送恶意序列化代码<\/li> <\/ol>
2. 关键流程分析<\/h3>

初始化上下文流程<\/strong>：<\/p>

通过InitialContext(env)<\/code>构建<\/li>
最终由InitialContextFactoryImpl.getInitialContext<\/code>初始化<\/li>
使用ORBHelper.getORBHelper().getORBReference<\/code>获取NameService<\/li>
基于NameService创建上下文实例<\/li> <\/ul> <\/li>
rebind流程<\/strong>：<\/p> 通过getContext<\/code>获取上下文对象<\/li> 使用rebind_any<\/code>发送序列化代码<\/li> 通过_request<\/code>建立Socket通信<\/li> 通过_invoke<\/code>执行最终操作<\/li> <\/ul> <\/li> <\/ol> 3. 完整执行流程<\/h3> 获取NameService → 创建上下文实例 → 发起request请求 → 执行rebind_any操作 <\/code><\/pre> 四、NAT环境问题分析<\/h2> 1. 问题现象<\/h3> 在NAT环境下，当尝试与公网Weblogic服务器建立IIOP连接时，会出现"Operation time out"异常。<\/p> 2. 根本原因<\/h3> 在createEndPoint<\/code>方法中，Weblogic使用内网IP和端口建立Socket连接<\/li> 该方法通过MuxableSocketIIOP.createConnection<\/code>建立连接<\/li> Weblogic启动时默认监听内网网卡IP和端口（即使同时监听0.0.0.0）<\/li> <\/ol> 3. 问题定位<\/h3> 通过Wireshark抓包分析：第一次通信：LocateRequest类型，获取NameService<\/li> 第二次通信：Request类型，执行rebind_any操作<\/li> <\/ul> <\/li> 在NAT环境中，第二次通信尝试连接内网IP导致失败<\/li> <\/ol> 五、NAT绕过解决方案<\/h2> 方案1：GIOP协议极简实现<\/h3> 1. 原理<\/h4> 直接实现GIOP协议，避免依赖Weblogic的客户端实现：<\/p> 手动构造LocateRequest获取NameService<\/li> 手动构造Request执行rebind_any操作<\/li> <\/ul> 2. 实现步骤<\/h4> 构造LocateRequest<\/strong>：<\/p> 构建GIOP Header（Magic+Version+Message Type+Message Size）<\/li> 设置Message Type为LocateRequest(0x0A)<\/li> <\/ul> <\/li> 构造Request<\/strong>：<\/p> 构建GIOP Header<\/li> 设置Message Type为Request(0x00)<\/li> 包含序列化payload<\/li> <\/ul> <\/li> <\/ol> 3. 优缺点<\/h4> 优点<\/strong>：<\/p> 原始Socket发包，效率高<\/li> 不依赖Weblogic客户端实现<\/li> <\/ul> 缺点<\/strong>：<\/p> 构造难度高<\/li> 需要深入理解GIOP协议细节<\/li> <\/ul> 方案2：Javassist字节码修改<\/h3> 1. 原理<\/h4> 使用Javassist在运行时修改关键方法，将内网IP和端口替换为公网地址。<\/p> 2. 实现步骤<\/h4> 定位关键方法<\/strong>：<\/p> 修改newSocket<\/code>方法，替换host和port参数<\/li> <\/ul> <\/li> 字节码修改<\/strong>：<\/p> ClassPool pool =<\/span> ClassPool.<\/span>getDefault<\/span>();<\/span> <\/span><\/span>CtClass cc =<\/span> pool.<\/span>get<\/span>(<\/span>"weblogic.iiop.EndPoint"<\/span>);<\/span> <\/span><\/span>CtMethod m =<\/span> cc.<\/span>getDeclaredMethod<\/span>(<\/span>"newSocket"<\/span>);<\/span> <\/span><\/span>m.<\/span>setBody<\/span>(<\/span>"{...替换逻辑...}"<\/span>);<\/span> <\/span><\/span>cc.<\/span>toClass<\/span>();<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 3. 优缺点<\/h4> 优点<\/strong>：<\/p> 修改难度相对较低<\/li> 不需要修改原始代码<\/li> <\/ul> 缺点<\/strong>：<\/p> 需要程序重启或动态加载<\/li> 可能造成资源占用过高<\/li> <\/ul> 方案3：源代码修改<\/h3> 1. 原理<\/h4> 直接修改Weblogic相关类的源代码，修正IOR获取逻辑。<\/p> 2. 关键修改点<\/h4> 修改ContextImpl.rebind<\/code>方法<\/strong>：<\/p> 将正确IP和端口存入系统环境变量<\/li> <\/ul> <\/li> 修改IIOPRemoteRef.locateIORForRequest<\/code>方法<\/strong>：<\/p> 从环境变量读取正确IP和端口<\/li> 修改ior对象的连接信息<\/li> <\/ul> <\/li> <\/ol> 3. 具体实现<\/h4> \/\/ 在rebind方法中添加 <\/span><\/span><\/span><\/span>System.<\/span>setProperty<\/span>(<\/span>"weblogic.iiop.host"<\/span>,<\/span> publicIP);<\/span> <\/span><\/span>System.<\/span>setProperty<\/span>(<\/span>"weblogic.iiop.port"<\/span>,<\/span> publicPort);<\/span> <\/span><\/span> <\/span><\/span>\/\/ 在locateIORForRequest中修改 <\/span><\/span><\/span><\/span>String host =<\/span> System.<\/span>getProperty<\/span>(<\/span>"weblogic.iiop.host"<\/span>);<\/span> <\/span><\/span>String port =<\/span> System.<\/span>getProperty<\/span>(<\/span>"weblogic.iiop.port"<\/span>);<\/span> <\/span><\/span>ior =<\/span> modifyIOR(<\/span>ior,<\/span> host,<\/span> port);<\/span> <\/span><\/span><\/code><\/pre>4. 优缺点<\/h4> 优点<\/strong>：<\/p> 原生代码兼容性最好<\/li> 稳定性高<\/li> <\/ul> 缺点<\/strong>：<\/p> 需要修改Weblogic源代码<\/li> 部署复杂度较高<\/li> <\/ul> 六、环境搭建与验证<\/h2> 1. 测试环境<\/h3> Weblogic版本：12.1.3.0<\/li> 漏洞编号：CVE-2020-2555<\/li> 内网环境：Windows 10.10.10.173:7001<\/li> NAT环境：Vulfocus 118.193.36.37:32769（内部IP 172.17.0.5）<\/li> <\/ul> 2. 验证方法<\/h3> 使用Wireshark抓包分析通信过程<\/li> 观察是否成功建立两次通信（LocateRequest和Request）<\/li> 检查命令执行结果<\/li> <\/ol> 七、防御建议<\/h2> 限制IIOP端口的公网访问<\/li> 及时安装Weblogic安全补丁<\/li> 监控异常IIOP通信流量<\/li> 使用网络防火墙限制不必要的协议<\/li> <\/ol> 八、总结<\/h2> 本文详细分析了Weblogic IIOP协议在NAT环境下的通信问题，并提供了三种有效的绕过方案。在实际渗透测试中，可以根据具体环境选择最适合的技术方案。三种方案各有优劣，安全研究人员应当根据实际情况灵活选择。<\/p> 九、参考资料<\/h2> Oracle GIOP协议规范文档<\/li> Weblogic官方文档<\/li> Javassist官方文档<\/li> CVE-2020-2555漏洞分析资料<\/li> <\/ol>

Weblogic IIOP协议NAT网络绕过技术深度解析<\/h1>

二、核心协议解析<\/h2>

2. 协议关系<\/h3> 在Weblogic中，T3协议和IIOP协议都可以用于序列化攻击。由于RMI-IIOP可以兼容RMI和IIOP，因此所有可以通过T3协议发起的序列化攻击都可以通过IIOP协议实现。<\/p>

三、IIOP序列化攻击流程<\/h2>

四、NAT环境问题分析<\/h2>

1. 问题现象<\/h3> 在NAT环境下，当尝试与公网Weblogic服务器建立IIOP连接时，会出现"Operation time out"异常。<\/p>

五、NAT绕过解决方案<\/h2>

方案1：GIOP协议极简实现<\/h3>

方案2：Javassist字节码修改<\/h3>

1. 原理<\/h4> 使用Javassist在运行时修改关键方法，将内网IP和端口替换为公网地址。<\/p>

方案3：源代码修改<\/h3>

1. 原理<\/h4> 直接修改Weblogic相关类的源代码，修正IOR获取逻辑。<\/p>

六、环境搭建与验证<\/h2>

九、参考资料<\/h2> Oracle GIOP协议规范文档<\/li> Weblogic官方文档<\/li> Javassist官方文档<\/li> CVE-2020-2555漏洞分析资料<\/li> <\/ol>

2. 协议关系<\/h3>
在Weblogic中，T3协议和IIOP协议都可以用于序列化攻击。由于RMI-IIOP可以兼容RMI和IIOP，因此所有可以通过T3协议发起的序列化攻击都可以通过IIOP协议实现。<\/p>

1. 问题现象<\/h3>
在NAT环境下，当尝试与公网Weblogic服务器建立IIOP连接时，会出现"Operation time out"异常。<\/p>

1. 原理<\/h4>
使用Javassist在运行时修改关键方法，将内网IP和端口替换为公网地址。<\/p>

1. 原理<\/h4>
直接修改Weblogic相关类的源代码，修正IOR获取逻辑。<\/p>

九、参考资料<\/h2>

Oracle GIOP协议规范文档<\/li>
Weblogic官方文档<\/li>
Javassist官方文档<\/li>
CVE-2020-2555漏洞分析资料<\/li> <\/ol>