专栏首页Seebug漏洞平台WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

作者:Longofo@知道创宇404实验室 时间:2019年10月16日

这个漏洞和之前@Matthias Kaiser提交的几个XXE漏洞是类似的,而EJBTaglibDescriptor应该是漏掉的一个,可以参考之前几个XXE的分析[1]。我和@Badcode师傅反编译了WebLogic所有的Jar包,根据之前几个XXE漏洞的特征进行了搜索匹配到了这个EJBTaglibDescriptor类,这个类在反序列化时也会进行XML解析。

Oracle发布了10月份的补丁,详情见链接(https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html)

环境

•Windows 10•WebLogic 10.3.6.0.190716(安装了19年7月补丁)•Jdk160_29(WebLogic 自带的JDK)

漏洞分析

weblogic.jar!\weblogic\servlet\ejb2jsp\dd\EJBTaglibDescriptor.class这个类继承自java\io\Externalizable

因此在序列化与反序列化时会自动调用子类重写的writeExternalreadExternal

看下writeExternal的逻辑与readExternal的逻辑,

readExternal中,使用ObjectIutput.readUTF读取反序列化数据中的String数据,然后调用了load方法,

在load方法中,使用DocumentBuilder.parse解析了反序列化中传递的XML数据,因此这里是可能存在XXE漏洞的

writeExternal中,调用了本身的toString方法,在其中又调用了自身的toXML方法

toXML的作用应该是将this.beans转换为对应的xml数据。看起来要构造payload稍微有点麻烦,但是序列化操作是攻击者可控制的,所以我们可以直接修改writeExternal的逻辑来生成恶意的序列化数据:

漏洞复现

1.重写 EJBTaglibDescriptor中的writeExternal函数,生成payload

2.发送payload到服务器

在我们的HTTP服务器和FTP服务器接收到了my.dtd的请求与win.ini的数据

3.在打了7月份最新补丁的服务器上能看到报错信息

参考链接

[1] 分析: https://paper.seebug.org/906/

[2] https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

本文分享自微信公众号 - Seebug漏洞平台(seebug_org),作者:404实验室

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-10-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 多种设备基于 SNMP 协议的敏感信息泄露漏洞数据分析报告

    English version:https://paper.seebug.org/796/

    Seebug漏洞平台
  • Hessian 反序列化及相关利用链

    前不久有一个关于Apache Dubbo Http反序列化的漏洞,本来是一个正常功能(通过正常调用抓包即可验证确实是正常功能而不是非预期的Post),通过Po...

    Seebug漏洞平台
  • DeDeCMS v5.7 密码修改漏洞分析

    作者:LoRexxar'@知道创宇404实验室 0x01 背景 织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理...

    Seebug漏洞平台
  • 代码写的再好、用例写的再完善,这一点也可以把你全毁了!

    作为技术人员,我们每天都要写大量的代码,新功能产品计划书出了以后就要阅读、编写测试用例。对于一个大神级别的测试工程师而言,能写一手熟练的代码,覆盖率高的测...

    用户2149234
  • python—函数实例

    一个元组只表示一个参数;元组加一个*,则可以把元组中的元素作为参数,传到脚本中;带参数的元组只能放在后面,否则有语法错误

    py3study
  • TortoiseSVN 冲突解决详细步骤 (图)

    用户1258909
  • create-react-app入门教程

    Create React App是FaceBook的React团队官方出的一个构建React单页面应用的脚手架工具。它本身集成了Webpack,并配置了一系列内...

    老马
  • 巧妙解决:access denied (javax.management.MBeanTrust...

    当使用Oracle的JDBC驱动连接数据库时,会出现这种错误:access denied (javax.management.MBeanTrustPermis...

    白石
  • 中国电信和IBM联手向中小企业提供云计算服务

    中国电信集团公司与IBM公司日前签署合作协议,根据合作协议,中国电信将为企业级客户提供包括云平台资源、网络和设备等系统基础设施服务,IBM公司将负责整合软件、硬...

    静一
  • 常见的单机虚拟网络类型

    前言: 无论是互联网还是物联网,他们的网络模型都是可以见的,而虚拟化和云计算中的网络模型 要比这些模型要复杂的多,有些设备你是可以到也有一些设备你是看不到的,...

    小小科

扫码关注云+社区

领取腾讯云代金券