前言:
现时你们对“apache1067进程意外终止”大体比较讲究,我们都需要学习一些“apache1067进程意外终止”的相关资讯。那么小编同时在网摘上汇集了一些关于“apache1067进程意外终止””的相关资讯,希望小伙伴们能喜欢,朋友们一起来学习一下吧!1、目标选择
去年暑期在tx某实验室实习,leader给的任务就是挖掘web服务器漏洞,最近研究weblogic服务器内容比较多,遂选择它了。
2、研究方向
当时weblogic爆出的最新的洞是2725那个RCE,想着能否找个RCE出来,看weblogic补丁历史,RCE思路有俩个:1、是寻找新的gadgets。2、weblogic支持的协议比较多,可能存在反序列化RCE的问题。第一个思路挖掘有点难,所以选择了第二个方向,审计基于RMI的JMX服务,weblogic默认会注册一些MBean,如果这些MBean中存在危险代码,外部还可以访问,第一个思路就是审计weblogic中默认注册的MBean中的代码,是否存在危险代码。第二个思路就是像上面weblogic默认注册的MBean对象篡改它的参数为gadget,如果存在JEP 290这样的防御机制,可以通过Asap hook bypass。然而当写出hook bypass工具时,实际问题来了想操纵MBean,前提需要知道管理员的用户名和密码,即使RCE危害也不大。(当时看到了rmi-iiop协议,没深入研究,后面就有人在这块曝洞了。。。
3、柳暗花明
工作陷入僵局,想着RCE是不可能了,挖掘XXE看看能挖到不。当时爆出反序列化XXE的CVE:CVE-2019-2647、CVE-2019-2648、CVE-2019-2649、CVE-2019-2650,直接感觉还有XXE,人工审计太麻烦了,写一款辅助审计的工具。工具思路比较简单就是正则匹配XML解析的库和实现了序列化接口的类都打印出来,人工审计反序列操作有没有问题就可以了。第一个问题weblogic的jar包都是字节码文件需要还原成XXX.java。可以通过jd-gui来还原。下面把源码给出来:
package Search;import java.io.*;import java.net.URL;import java.util.regex.Pattern;public class JarFileReader { public static void Test(String jarName,String classname) throws IOException { URL url1 = new URL("jar:file:"+jarName.replaceAll("\\","/")+"!"+classname); URL url2 = new URL("jar:file:"+jarName.replaceAll("\\","/")+"!"+classname);// 标准输入流 try { InputStream is1 = url1.openStream(); InputStream is2 = url2.openStream(); if (processEvilPackage(is1)&&processReadObject(is2)) { System.out.println(classname + " this class maybe have XXE!!!!!!!!!"); } }catch (Exception e) { System.out.println(classname + " java.io.FileNotFoundException"); } } private static boolean processEvilPackage(InputStream input) throws IOException { InputStreamReader isr = new InputStreamReader(input); BufferedReader reader = new BufferedReader(isr); String line; //遍历查找库 while ((line = reader.readLine()) != null) {// System.out.println(line); if (SearchEvilPackage(line)) { return true; } } reader.close(); return false; } private static boolean processReadObject(InputStream input) throws IOException { InputStreamReader isr = new InputStreamReader(input); BufferedReader reader = new BufferedReader(isr); String line; //遍历查找库 while ((line = reader.readLine()) != null) {// System.out.println(line); if (SearchReadObject(line)) { return true; } } reader.close(); return false; } private static boolean SearchEvilPackage(String line) { //表达式 String XXE_Regex = ".*javax.xml.parsers.DocumentBuilderFactory.*|.*javax.xml.parsers.SAXParser.*|.*javax.xml.transform.TransformerFactory.*|.*javax.xml.validation.Validator.*|.*javax.xml.validation.SchemaFactory.*|.*javax.xml.transform.sax.SAXValidator.*|.*javax.xml.transform.sax.SAXSource.*|.*org.xml.sax.XMLReader.*|.*org.xml.sax.helpers.XMLReaderFactory.*|.*org.dom4j.io.SAXReader.*|.*org.jdom.input.SAXBuilder.*|.*org.jdom2.input.SAXBuilder.*|.*javax.xml.bind.Unmarshaller.*|.*javax.xml.xpath.XpathExpression.*|.*javax.xml.stream.XMLStreamReader.*|.*org.apache.commons.digester3.Digester.*|.*javax.xml.transform.stream.StreamSource.*|.*javax.xml.parsers.SAXParserFactory.*|.*javax.xml.ws.EndpointReference.*"; boolean b = Pattern.matches(XXE_Regex, line); if(b){ return true; }else { return false; } } private static boolean SearchReadObject(String line) { //表达式 String Ser_Regex = ".*Externalizable.*|.*Serializable.*|.*readObject.*|.*readExternal.*"; boolean b = Pattern.matches(Ser_Regex, line); if(b){ return true; }else { return false; } }}
package Search;import java.io.File;import java.util.Enumeration;import java.util.zip.ZipEntry;import java.util.zip.ZipFile;import java.util.regex.Pattern;public class SearchClassInJar { private String className; private String className_temp; private String className_final; private String jarDir; private Integer totalNum = 0; public SearchClassInJar(String className,String jarDir) { this.className = className; this.jarDir = jarDir; } //将jar中的类文件路径形式改为包路径形式 protected String getClassName(ZipEntry entry) { StringBuffer className = new StringBuffer(entry.getName().replace('/','.')); return className.toString(); } // 从jar从搜索目标类 public void searchClass(boolean recurse) { searchDir(this.jarDir, recurse); System.out.println(String.format("[!] Find %s classes",this.totalNum)); System.out.println(); } //递归搜索目录和子目录下所有jar和zip文件 protected void searchDir(String dir, boolean recurse) { try { File d = new File(dir); if (!d.isDirectory()) { return; } File[] files = d.listFiles(); for (int i = 0; i < files.length; i++) { if (recurse && files[i].isDirectory()) { searchDir(files[i].getAbsolutePath(), true); } else { String filename = files[i].getAbsolutePath(); if (filename.endsWith(".jar")||filename.endsWith(".zip")) { System.out.println("---------------------扫描"+filename+"中----------------------------"); ZipFile zip = new ZipFile(filename); Enumeration entries = zip.entries(); while (entries.hasMoreElements()) { ZipEntry entry = (ZipEntry) entries.nextElement(); String thisClassName = getClassName(entry); if (wildcardEquals(this.className.toLowerCase(),thisClassName.toLowerCase()) || wildcardEquals(this.className.toLowerCase() + ".class",thisClassName.toLowerCase())) { JarFileReader jarFileReader = new JarFileReader(); className_temp = "/"+thisClassName.replaceAll("\.","/"); className_final = className_temp.substring(0,className_temp.length()-5)+".java"; jarFileReader.Test(filename,className_final); totalNum++; } } } } } } catch (Exception e) { e.printStackTrace(); } } //通配符匹配 private boolean wildcardEquals(String wildcard, String str) { String regRule = WildcardToReg(wildcard); return Pattern.compile(regRule).matcher(str).matches(); } //将通配符转换为正则表达式 private static String WildcardToReg(String path) { char[] chars = path.toCharArray(); int len = chars.length; StringBuilder sb = new StringBuilder(); boolean preX = false; for(int i=0;i<len;i++){ if (chars[i] == '*'){ if (preX){ sb.append(".*"); preX = false; }else if(i+1 == len){ sb.append("[^/]*"); }else{ preX = true; continue; } }else{ if (preX){ sb.append("[^/]*"); preX = false; } if (chars[i] == '?'){ sb.append('.'); }else{ sb.append(chars[i]); } } } return sb.toString(); } public static void main(String args[]) { SearchClassInJar scij = new SearchClassInJar(args[0],args[1]); //args[0]写 *.java //args[1]写 C:UsersxxxxxDesktopctf-toolsjd-guiweblogic(反编译好的weblogic.jar路径) scij.searchClass(true); }}
看下扫描结果,CVE-2019-2647、CVE-2019-2648、CVE-2019-2649、CVE-2019-2650这几类都匹配出来了,还额外找到EJBTaglibDescriptor这个类在反序列化时也存在XXE。POC构造看:
4、漏洞分析
提交这个洞后,orcle那边说撞洞了,后来把正则改了改,又找到了一个本地触发的XXE有点小鸡肋,算是混个CVE吧。扫出这个类。
/com/octetstring/vde/schema/InitSchema.java触发漏洞是在启动weblogic服务时,在”D:weblogic10wlserver_10.3serverlibschema.core.xml”文件写入
触发漏洞位置
schema.core.xml是写死的
调用栈:
原文链接:
标签: #apache1067进程意外终止