漏洞简述

2021年3月15日墨云安全V-Lab实验室向Oracle官方报告了Weblogic Server RCE漏洞,2021年7月21日Oracle发布了致谢信息。

这是一个二次反序列化漏洞,是cve-2020-14756和cve-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。

漏洞分析

最开始我是发现了oracle.eclipselink.coherence.integrated.internal.cache.SerializationHelper类中的readAttributeAccessor方法

在这个方法中实例化了MethodAttributeAccessor类,在MethodAttributeAccessor类中的getAttributeValueFromObject方法存在反射调用

这里就是CVE-2020-14825的触发点,在14825中就是LockVersionExtractor和MethodAttributeAccessor的调用链来进行RCE的,这两个类都已经加入到黑名单列表中。而SerializationHelper类的readAttributeAccessor方法被FilterExtractor的readExternal方法调用了

最重要的是FilterExtractor类的extract方法和LockVersionExtractor类的extract方法一样都调用了getAttributeValueFromObject方法

那这里就产生绕过了,虽然LockVersionExtractor和MethodAttributeAccessor类都在黑名单列表里面,但是FilterExtractor类可以替代LockVersionExtractor类,并且在FilterExtractor类的readExternal方法调用了SerializationHelper.readAttributeAccessor,SerializationHelper.readAttributeAccessor方法中又实例化了MethodAttributeAccessor类。

但是这里还不能直接触发,FilterExtractor类的readExternal方法为DataInput类型不是ObjectInput,这里就要利用CVE-2020-14756前部分的调用链,简单来说14756是一个二次反序列化的调用链,WebLogic自身实现了一套readObject反序列化过程,自定义的这一套需要实现ExternalizableLite接口,它的readExternal参数是DataInput类型。

看下CVE-2020-14756前部分需要用到的调用链

compare:416, SortedBagWrapperComparator(com.tangosol.util)compare:1295,TreeMap(java.util)put:538,TreeMap(java.util)add:152,SortedBag(com.tangosol.util)add:268,TopNAggregatorWrapperComparator (com.tangosol.util) compare:1295, TreeMap (java.util) put:538, TreeMap (java.util) add:152, SortedBag (com.tangosol.util) add:268, TopNAggregatorWrapperComparator(com.tangosol.util)compare:1295,TreeMap(java.util)put:538,TreeMap(java.util)add:152,SortedBag(com.tangosol.util)add:268,TopNAggregatorPartialResult (com.tangosol.util.aggregator)
readExternal:297, TopNAggregator$PartialResult
(com.tangosol.util.aggregator) readExternalizableLite:2265,
ExternalizableHelper (com.tangosol.util) readObjectInternal:2579,
ExternalizableHelper (com.tangosol.util) readObject:2524,
ExternalizableHelper (com.tangosol.util) readObject:2502,
ExternalizableHelper (com.tangosol.util) readExternal:406,
AttributeHolder (com.tangosol.coherence.servlet) readExternal:371,
AttributeHolder (com.tangosol.coherence.servlet)

可以看到这里调用到compare方法了,而cve-2020-14825中剩下的部分就是compare->extract->getAttributeValueFromObject来进行RCE的。

总结

1.这是一个二次反序列化漏洞

2.整条链是cve-2020-14756和cve-2020-14825的结合体

3.FilterExtractor类替换LockVersionExtractor类

4.SerializationHelper.readAttributeAccessor替换MethodAttributeAccessor

5.组成一条完整的调用链

紧急通报!!!

网络安全学习资料白嫖的机会来了!!!

WebLogic CVE-2021-2394 RCE 漏洞分析相关推荐

  1. 通达OA任意文件上传/文件包含RCE漏洞分析

    通达OA任意文件上传/文件包含RCE漏洞分析 0x01 前提 0x01 漏洞介绍 0x02 漏洞分析 首先下载安装 绕过身份验证文件上传部分 变量传递问题 文件包含部分 0x01 前提 关于这个漏洞的 ...

  2. php5漏洞汇总,ThinkPHP 5.x RCE 漏洞分析与利用总结

    一.ThinkPHP 5.0.23 rce漏洞复现与总结 漏洞复现 thinkphp 5.0.23 rce thinkphp 5.0.23 rce源码下载: github:https://github ...

  3. CVE-2022-22947 SpringCloud GateWay SPEL RCE 漏洞分析

    漏洞概要 Spring Cloud Gateway 是Spring Cloud 生态中的API网关,包含限流.过滤等API治理功能. Spring官方在2022年3月1日发布新版本修复了Spring ...

  4. Oracle WebLogic 最新补丁的绕过漏洞分析 cve-2020-2883

    今年早些时候,作者在博客中公开了一个Oracle WebLogic Server中的反序列化漏洞.此漏洞是由Oracle补丁的,并分配了CVE-2020-2555.但是,VNPT ISC的研究员Quy ...

  5. cve-2019-10758 mongo-express rce 漏洞分析

    下面是对漏洞的描述: mongo-express before 0.54.0 is vulnerable to Remote Code Execution via endpoints that use ...

  6. cve-2017-12629 apache solr xxe rce 漏洞分析

    Versions Affected Apache Solr before 7.1.0 with Apache Lucene before 7.1 Elasticsearch, although it ...

  7. opensns v6.2.0前台RCE漏洞分析

    最近准备进一步学习下代码审计,因此打算找些历史漏洞分析学习下.(啥时候我也能挖出前台rce呢 本次漏洞的入口点在于 Application/Weibo/Controller/ShareControll ...

  8. WebLogic CVE-2019-2647~2650 XXE漏洞分析

    Oracle发布了4月份的补丁,详情见链接( https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html# ...

  9. WebLogic CVE-2019-2647、CVE-2019-2648、CVE-2019-2649、CVE-2019-2650 XXE漏洞分析

    作者:Longofo@知道创宇404实验室 时间:2019年4月26日 如果你想第一时间了解漏洞资讯,可以关注我们的知道创宇Paper:https://paper.seebug.org/906/ Or ...

最新文章

  1. 看不到日志_Kubernetes中常用的日志收集方案
  2. [转]MySQL Explain详解
  3. osgi导出包和非导出包_了解如何解决OSGI捆绑包
  4. 【转】IP Socket知识
  5. 用vue开发顶端粘滞效果的页面
  6. 写笔记插件_如何构建自己的笔记知识体系?
  7. java robots协议检测工具
  8. vmware vsphere出现“需要整合虚拟机磁盘”的告警处理方法(完整版)
  9. 卡耐基沟通成功学—戴尔·卡耐基
  10. app常见的 闪退及闪退的原因
  11. Qt[每日一言|每日诗词]API调用
  12. Selenium WebDriver(1)——入门篇
  13. JAVAWEB校园二手平台项目
  14. ANSYS Electronic各类
  15. VMware虚拟机启动后黑屏,无论怎么按都是不动弹
  16. Qt串口等接口数据协议传输时的字节拼接处理
  17. saas 软件即服务
  18. Hibernate 注解 实现一对多
  19. 大数据风控怎么做?新网银行的做法是......
  20. 2023系统分析师---系统规划

热门文章

  1. DL之VGG16:基于VGG16迁移技术实现猫狗分类识别(图片数据量调整→保存h5模型)
  2. 成功解决Could not import the PyAudio C module ‘_portaudio‘.
  3. CNN之性能指标:卷积神经网络中常用的性能指标(IOU/AP/mAP、混淆矩阵)简介、使用方法之详细攻略
  4. ML之XGBoost:XGBoost参数调优的优秀外文翻译—《XGBoost中的参数调优完整指南(带python中的代码)》(二)
  5. BigData:绘制2018年福布斯中国富豪榜人名坐标地图(解决多个人名显示在同一个家乡地点)
  6. 7.1 TensorFlow笔记(基础篇):加载数据之预加载数据与填充数据
  7. pythonChallenge:第1关
  8. nginx--阿里云--success
  9. Python__封装
  10. Flux快速入门指南