https://kylingit.com/tags/xmldecoder/index.xml Recent content in Xmldecoder on 诗与胡说 Hugo -- gohugo.io zh_cn Copyright © 2021 Kylinking https://kylingit.com/blog/cve-2019-2729-weblogic-xmldecoder%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Wed, 19 Jun 2019 12:26:39 +0000 https://kylingit.com/blog/cve-2019-2729-weblogic-xmldecoder%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h3 id="漏洞分析">漏洞分析</h3> <p>该漏洞是<code>CVE-2019-2725</code>的绕过，因此前面的流程都是一样的，经过21个<code>handler</code>处理，最终进入<code>WorkAreaHeader</code></p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/20190620123830.png" alt="" /></p> <p>在4月份<code>oracle</code>对2725紧急补丁中，过滤了<code>class</code>元素，因此不能再通过<code>class</code>创建对象</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/20190620123907.png" alt="" /></p> <p>这次的绕过实际上就是找到另外的元素代替<code>class</code>进而绕过补丁。</p> <p>在<code>jdk7</code>中解析<code>xml</code>时获取<code>element</code>元素的相关类为<code>com.sun.beans.decoder.DocumentHandler</code></p> <p>当传入<code>array</code>标签，进入<code>ArrayElementHandler</code>，为<code>array</code>元素添加属性时，只能从<code>length</code>，<code>class</code>，<code>id</code>中选择，唯一能创建类的<code>class</code>已经加入了黑名单，所以在<code>jdk1.7</code>下不受此漏洞影响，这次的绕过出现在低于<code>jdk1.7</code>的<code>java</code>版本上。</p> <p><code>weblogic 10.3.6.0</code>自带的<code>jdk</code>版本为1.6，<code>jdk1.6</code>中解析xml时有很大的不同，相关处理方法在<code>com.sun.beans.ObjectHandler</code></p> <p>解析时首先进入的是<code>startElement</code>方法</p> <p>该方法首先获取元素的属性并创建一个<code>hashmap</code>，当元素含有属性时，会根据属性值进行类/属性/方法的相关操作，当元素没有属性时，调用的是<code>new</code>方法，例如解析<code>&lt;java&gt;</code>、<code>&lt;void&gt;</code>时。而此时如果传入了<code>method</code>值就会把方法名设置为该值。</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/20190620123922.png" alt="" /></p> <p>随后把方法名设置为我们传入的值，最终通过<code>forName</code>找到指定的类</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/20190620123941.png" alt="" /></p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/20190620123956.png" alt="" /></p> <p>之后的流程就和2725一样的了</p> <p><img src="https://blog-1252261399.cos.ap-beijing.myqcloud.com/images/20190620124052.png" alt="1560635046339" /></p> <p>进入<code>WorkContextXmlInputAdapter:readUTF()</code>后的调用栈</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/20190620124309.png" alt="" /></p> <h3 id="补丁分析">补丁分析</h3> <p>6月19日，<code>Oralce</code>官方放出了该漏洞的补丁，详情见<a href="https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html">这里</a></p> <p>分析一下补丁</p> <pre><code class="language-java">this.validate(new ByteArrayInputStream(baos.toByteArray())); this.validateFormat(new ByteArrayInputStream(baos.toByteArray())); this.xmlDecoder = new XMLDecoder(new ByteArrayInputStream(baos.toByteArray())); </code></pre> <p>在原来<code>validate</code>过滤的基础上又增加了一次<code>validateFormat</code>过滤，过滤方法如下</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/20190620124924.png" alt="" /></p> <p>这回终于是采用了白名单方式，<code>allowedName</code>如下</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/20190620124935.png" alt="" /></p> <p>可以看到<code>allowedName</code>严格限制了可以使用的标签，并且也限制了标签可以拥有的属性，值得注意的是<code>allowedName</code>不再允许<code>field</code>标签了，emmm&hellip;</p> <h3 id="总结">总结</h3> <p>这个漏洞是当时应急时简单分析的，后续有时间会详细整理一下。</p> <p>从整个<code>XMLDecoder</code>反序列化漏洞的来看（CVE-2017-3506 -&gt; CVE-2017-10271(10352) -&gt; CVE-2019-2725 -&gt; CVE-2019-2729），使用黑名单修补漏洞是不靠谱的，永远不知道下一次绕过是在什么时候，而这次的白名单修复方式会不会还存在缺陷呢？此处还得打一个问号。</p>