漏洞信息
漏洞名称:OracleWebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)
影响版本:- WebLogic 10.x
- WebLogic 12.1.3
此漏洞影响启用bea_wls9_async_response组件及wls-wsat组件的所有Weblogic版本。
漏洞评级:高危
漏洞简介:
WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。
该漏洞是存在于weblogic自带的wls9_async_response.war组件及wls-wsat组件中,在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意HTTP 请求,未授权的情况下远程执行命令。部分版本WebLogic中默认包含的wls9_async_response包,主要是为WebLogic Server提供异步通讯服务。
漏洞分析:
我们知道漏洞存在于wls9_async_response.war 这个包里面。那我们来看一下这个包。
wls9_async_response组件情况:
首先看一下bea_wls9_async_response.war!/WEB-INF/web.xml 内容,我们发现这里的所有请求都是交给weblogic.wsee.async.AsyncResponseBean 方法继续处理。
而在bea_wls9_async_response.war!/WEB-INF/weblogic-webservices.xml 文件中,这里定义了目前流传的一些poc请求路径。
那这里需要跟进一下 weblogic.wsee.async.AsyncResponseBean 这个方法,这个方法的位置在/weblogic.jar!/weblogic/wsee/async/AsyncResponseBean.class ,头部import的包如下所示:
这里关注到了几个soap相关的包,从公布的poc中可知触发原因应该是由于soap注入引起的反序列化漏洞,但是在 AsyncResponseBean 中只有 handleFault和handleResult 方法。跟进这两个方法确实没有找到反序列化相关的触发点,因为看poc很像 CVE-2017-10271(XMLDecoder反序列化漏洞)。
进一步分析:
在Servlet拦截器下个断点,位置在weblogic.jar!/weblogic/wsee/server/servlet/BaseWSServlet.class,从前的import包中可知应该与soap有关系。
跟进一下 weblogic.jar!/weblogic/wsee/server/servlet/SoapProcessor.class
继续跟入 getMethod 方法,
跟到了 weblogic.jar!/weblogic/servlet/internal/ServletRequestImpl.class
继续跟入 getRequestParser方法,
位置在weblogic.jar!/weblogic/servlet/internal/ServletRequestImpl.class
继续跟进,来到weblogic.wsee.server.servlet.SoapProcessor#process中。
然后一直跟进,跟进到
weblogic.jar!/weblogic/wsee/ws/dispatch/server/ServerDispatcher.class的第85行
继续跟进到 weblogic.jar!/weblogic/wsee/ws/dispatch/server/ServerDispatcher.class的第93行,跟进handleRequest(weblogic.jar!/weblogic/wsee/handler/HandlerIterator.class) ,在下面代码处下个断点。
Handler var4 = this.handlers.get(this.index)
这里有很多 handler,最感兴趣的是 AsyncResponseHandler 。
但是随着进一步的step into,发现触发点并不是这里。
跟进到了 WorkAreaServerHandler 这个handler之后,发现了新大陆。
WorkAreaServerHandler(weblogic.jar!/weblogic/wsee/workarea/WorkAreaServerHandler.class),这里会从我们提交的poc中获取数据。
跟进一下 receiveRequest 方法,
位置在wlclient.jar!/weblogic/workarea/WorkContextLocalMap.class中。
继续跟进一下 readEntry ,
位置在wlclient.jar!/weblogic/workarea/spi/WorkContextEntryImpl.class中。
跟进一下 readUTF ,位置在weblogic.jar!/weblogic/wsee/workarea/WorkContextXmlInputAdapter.class,结果出来了。
果然是 xmlDecoder 发序列化,我们在这里下一个断点,最后看一下调用链。
此漏洞分析来源:http://www.lmxspace.com/文章来源地址https://www.toymoban.com/news/detail-402585.html
文章来源:https://www.toymoban.com/news/detail-402585.html
到了这里,关于CNVD-C-2019-48814 WebLogic反序列化远程命令执行漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!