微慑信息网

weblogic async漏洞(cve-2019-2725)补丁绕过POC

受影响版本:
Weblogic 10.3.X
JDK 1.6.X

绕过前提

首先,绕过的weblogic版本需要为<=10.3.X系列,JDK<=1.6.因为网传的exp利用方式是替换class标签为array标签配合method.而从JDK1.7开始,array标签根本就没有method这个属性。且Weblogic 12.1.3的启动版本JDK最低需要1.7.网传的exp根本不可能对一个在JDK1.6下连启动都启动不了的12.1.3的Weblogic造成影响

JDK1.7WithArray Method
JDK1.6WithWeblogic12.1.3

绕过方法

绕过方法已经是公开的秘密,此次绕过使用array配合method属性中的forName方法进行指定调用class.

绕过方法

绕过模板如下

以上模板同时适用于远程加载xml的方式,但已经限定了JDK版本以及Weblogic版本,意义不大

绕过演示

绕过演示

精心构造的byte流配合补丁绕过可以实现自动识别操作系统、报文回显命令执行、自动找安装路径写shell,危害极为严重

自动找安装路径写shell

处置建议

1.使用的JDK>8U20,因为8U20及以下有原生反序列化漏洞
2.禁止访问以下路径或者删除以下war包

后记

根据可靠情报,JDK1.7的利用方式已经研制成功,但并未在野利用。再次提醒Weblogic XMLDecoder类漏洞切勿使用打补丁这种方式。因为Oracle是一家使用黑名单的公司,极为容易被绕过。

——————————————————–

JDK1.6 POC: