如何進(jìn)行WebLogic EJBTaglibDescriptor XXE漏洞分析

這篇文章將為大家詳細(xì)講解有關(guān)如何進(jìn)行WebLogic EJBTaglibDescriptor XXE漏洞分析，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

這個(gè)漏洞和之前@Matthias Kaiser提交的幾個(gè)XXE漏洞是類似的，而EJBTaglibDescriptor應(yīng)該是漏掉的一個(gè)，可以參考之前幾個(gè)XXE的分析。我和@Badcode師傅反編譯了WebLogic所有的Jar包，根據(jù)之前幾個(gè)XXE漏洞的特征進(jìn)行了搜索匹配到了這個(gè)EJBTaglibDescriptor類，這個(gè)類在反序列化時(shí)也會(huì)進(jìn)行XML解析。    

環(huán)境

Windows 10

WebLogic 10.3.6.0.190716(安裝了19年7月補(bǔ)丁)

Jdk160_29（WebLogic 自帶的JDK）

漏洞分析

weblogic.jar!\weblogic\servlet\ejb2jsp\dd\EJBTaglibDescriptor.class這個(gè)類繼承自java\io\Externalizable

因此在序列化與反序列化時(shí)會(huì)自動(dòng)調(diào)用子類重寫(xiě)的writeExternal與readExternal

看下writeExternal的邏輯與readExternal的邏輯，

在readExternal中，使用ObjectIutput.readUTF讀取反序列化數(shù)據(jù)中的String數(shù)據(jù)，然后調(diào)用了load方法，

在load方法中，使用DocumentBuilder.parse解析了反序列化中傳遞的XML數(shù)據(jù)，因此這里是可能存在XXE漏洞的

在writeExternal中，調(diào)用了本身的toString方法，在其中又調(diào)用了自身的toXML方法

toXML的作用應(yīng)該是將this.beans轉(zhuǎn)換為對(duì)應(yīng)的xml數(shù)據(jù)?？雌饋?lái)要構(gòu)造payload稍微有點(diǎn)麻煩，但是序列化操作是攻擊者可控制的，所以我們可以直接修改writeExternal的邏輯來(lái)生成惡意的序列化數(shù)據(jù)：

漏洞復(fù)現(xiàn)

重寫(xiě)EJBTaglibDescriptor中的writeExternal函數(shù)，生成payload

發(fā)送payload到服務(wù)器

在我們的HTTP服務(wù)器和FTP服務(wù)器接收到了my.dtd的請(qǐng)求與win.ini的數(shù)據(jù)

在打了7月份最新補(bǔ)丁的服務(wù)器上能看到報(bào)錯(cuò)信息

關(guān)于如何進(jìn)行WebLogic EJBTaglibDescriptor XXE漏洞分析就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。