1. 威客安全首页
  2. 安全资讯

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

 

作者:Longofo@知道创宇404实验室

这个漏洞和之前@Matthias Kaiser提交的几个XXE漏洞是类似的,而EJBTaglibDescriptor应该是漏掉的一个,可以参考之前几个XXE的分析。我和@Badcode师傅反编译了WebLogic所有的Jar包,根据之前几个XXE漏洞的特征进行了搜索匹配到了这个EJBTaglibDescriptor类,这个类在反序列化时也会进行XML解析。

Oracle发布了10月份的补丁,详情见链接(https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html)

 

环境

  • Windows 10
  • WebLogic 10.3.6.0.190716(安装了19年7月补丁)
  • Jdk160_29(WebLogic 自带的JDK)

 

漏洞分析

weblogic.jar!weblogicservletejb2jspddEJBTaglibDescriptor.class这个类继承自javaioExternalizable

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

因此在序列化与反序列化时会自动调用子类重写的writeExternal与readExternal

看下writeExternal的逻辑与readExternal的逻辑,

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

在readExternal中,使用ObjectIutput.readUTF读取反序列化数据中的String数据,然后调用了load方法,

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

在load方法中,使用DocumentBuilder.parse解析了反序列化中传递的XML数据,因此这里是可能存在XXE漏洞的

在writeExternal中,调用了本身的toString方法,在其中又调用了自身的toXML方法

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

toXML的作用应该是将this.beans转换为对应的xml数据。看起来要构造payload稍微有点麻烦,但是序列化操作是攻击者可控制的,所以我们可以直接修改writeExternal的逻辑来生成恶意的序列化数据:

WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

 

漏洞复现

  1. 重写 EJBTaglibDescriptor中的writeExternal函数,生成payload

    WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

  2. 发送payload到服务器

    WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

    在我们的HTTP服务器和FTP服务器接收到了my.dtd的请求与win.ini的数据

    WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

  3. 在打了7月份最新补丁的服务器上能看到报错信息

    WebLogic EJBTaglibDescriptor XXE漏洞(CVE-2019-2888)分析

 

参考链接:

[1] 分析: https://paper.seebug.org/906/

[2]  https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

原文链接:https://www.anquanke.com/post/id/189995

本站声明:网站内容来源于安全客,如有侵权,请联系我们,我们将及时处理。

本文转为转载文章,本文观点不代表威客安全立场。

联系我们

15110186328

在线咨询:点击这里给我发消息

邮件:zhanglei@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code
X