如何进行WebLogicEJBTaglibDescriptorXXE漏洞分析

这篇文章将为大家详细讲解有关如何进行WebLogic EJBTaglibDescriptor XXE漏洞分析,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。

成都创新互联公司是专业的济南网站建设公司,济南接单;提供成都做网站、成都网站制作、成都外贸网站建设,网页设计,网站设计,建网站,PHP网站建设等专业做网站服务;采用PHP框架,可快速的进行济南网站开发网页制作和功能扩展;专业做搜索引擎喜爱的网站,专业的做网站团队,希望更多企业前来合作!

这个漏洞和之前@Matthias Kaiser提交的几个XXE漏洞是类似的,而EJBTaglibDescriptor应该是漏掉的一个,可以参考之前几个XXE的分析。我和@Badcode师傅反编译了WebLogic所有的Jar包,根据之前几个XXE漏洞的特征进行了搜索匹配到了这个EJBTaglibDescriptor类,这个类在反序列化时也会进行XML解析。    

环境

Windows 10

WebLogic 10.3.6.0.190716(安装了19年7月补丁)

Jdk160_29(WebLogic 自带的JDK)

漏洞分析

weblogic.jar!\weblogic\servlet\ejb2jsp\dd\EJBTaglibDescriptor.class这个类继承自java\io\Externalizable

如何进行WebLogic EJBTaglibDescriptor XXE漏洞分析

因此在序列化与反序列化时会自动调用子类重写的writeExternal与readExternal

看下writeExternal的逻辑与readExternal的逻辑,

如何进行WebLogic EJBTaglibDescriptor XXE漏洞分析

在readExternal中,使用ObjectIutput.readUTF读取反序列化数据中的String数据,然后调用了load方法,

如何进行WebLogic EJBTaglibDescriptor XXE漏洞分析

在load方法中,使用DocumentBuilder.parse解析了反序列化中传递的XML数据,因此这里是可能存在XXE漏洞的

在writeExternal中,调用了本身的toString方法,在其中又调用了自身的toXML方法

如何进行WebLogic EJBTaglibDescriptor XXE漏洞分析

如何进行WebLogic EJBTaglibDescriptor XXE漏洞分析

toXML的作用应该是将this.beans转换为对应的xml数据。看起来要构造payload稍微有点麻烦,但是序列化操作是攻击者可控制的,所以我们可以直接修改writeExternal的逻辑来生成恶意的序列化数据:

如何进行WebLogic EJBTaglibDescriptor XXE漏洞分析

漏洞复现

重写EJBTaglibDescriptor中的writeExternal函数,生成payload

如何进行WebLogic EJBTaglibDescriptor XXE漏洞分析

发送payload到服务器

如何进行WebLogic EJBTaglibDescriptor XXE漏洞分析

在我们的HTTP服务器和FTP服务器接收到了my.dtd的请求与win.ini的数据

如何进行WebLogic EJBTaglibDescriptor XXE漏洞分析

在打了7月份最新补丁的服务器上能看到报错信息

如何进行WebLogic EJBTaglibDescriptor XXE漏洞分析

关于如何进行WebLogic EJBTaglibDescriptor XXE漏洞分析就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。


分享文章:如何进行WebLogicEJBTaglibDescriptorXXE漏洞分析
分享链接:http://ybzwz.com/article/ghogsi.html