前因

weblogic 2729过去了这么久,一开始只有10.3.6的版本exp以及分析公开,现在12.1.3 exp也在阿里白帽大会公布了,于是分析一下。

分析过程

soucre

拿10.3.6的payload来打,发现报错。

1.png

无法使用UnitOfWorkChangeSet这个类,12.1.3已经没有这个类了。

weblogic 2715禁止使用class标签了,通过DocumentHandler查看是否还有其他标签和属性是否可用。

jdk1.7比jdk1.6多了几个标签。看看有什么利用

property标签

网上有例子,并且官方有文档解释。

https://docs.oracle.com/cd/E17802_01/products/products/jfc/tsc/articles/persistence2/beanbox_Folder.1/docs/javadoc/java/beans/XMLEncoder.html

<property name="command"></property> //执行getCommand方法
<property name="command"><string>calc</string></property> //执行setCommand方法。

参数限制于java基本类型。

field标签

获取类中的静态属性。

结合起来的例子

package com.company;

import java.io.BufferedInputStream;
import java.io.FileInputStream;

public class People {
    public static People people = new People("xxxx");
    String command;

    People(String command) {
        this.command = command;
    }

    public String getCommand() {
        System.out.println(this.command);
        return this.command;
    }

    public void setCommand(String command) {
        this.command = command;
    }

    public static void main(String[] args) {
        java.io.File file = new java.io.File("d:/people.xml");
        java.beans.XMLDecoder xd = null;
        try
        {
            xd = new java.beans.XMLDecoder(new BufferedInputStream(new FileInputStream(file)));
        }
        catch(Exception e)
        {
            e.printStackTrace();
        }
        Object o = xd.readObject();
        xd.close();
    }
}
<?xml version="1.0" encoding="UTF-8"?>
<java version="1.8.0_131" class="java.beans.XMLDecoder">

<field class="com.company.Test" name="people" id="peopleobj"/>

<var idref="peopleobj">
    <property name="command">
    <string>calc</string>
    </property>
    <property name="command">
    </property>
</var>

</java>

打印了cacl。总结一下我们现在能做的,调用静态属性的get set方法。void标签可以实例化,但是没办法获取class。

数据流

这里当时我找了很久,也没找到被实例化当成静态属性的危险类。类的范围被限制太死了,既然是被限制的代码执行,那能不能找下其他利用,先获取任意类,然后使用void标签进行实例化的操作,再调用实例化类的setter、getter方法。结果是能找到,而且几个类能这样利用。
通过寻找beanclass,set方法是String,get方法返回的是Class类型。
寻找staticclass,提取静态属性所有的class类型。
然后还有继承关系,如果staticclass的子类是beanclass,也算入其中。

除了公开的com.bea.xbean.schema.BuiltinSchemaTypeSystem ST_ANY_TYPE

这里我一共找了三条可以实例化任意类。

打码类 FIRSTRESULT_FIELD
class:org.eclipse.persistence.internal.helper.DatabaseField
setter:typeName
getter:type

打码类 ST_ANY_TYPE
class:org.apache.xmlbeans.impl.schema.SchemaTypeImpl
setter:FullJavaName
getter:JavaClass

打码类 NO_TYPE
class:org.apache.xmlbeans.impl.schema.SchemaTypeImpl
setter:fullJavaName
getter:javaClass

sink

现有公开的有两种利用:
1、直接找命令执行或者文件操作的类。
大码,直接执行命令。
2.png

2、反序列化的类。
org.slf4j.ext.EventData,可以看到构造方法可以进行二次xmldecoder,并且参数也是可控的。
3.png

效果

最后回显
20200116155758-e96af598-3835-1.png

参考链接

阿里白帽大会weblogic议题

https://balis0ng.com/post/lou-dong-fen-xi/weblogic-wls9-asynczu-jian-rcelou-dong-fen-xi

标签: none

添加新评论