Windows應急響應和系統加固(11)——Weblogic各類漏洞的日誌分析和調查取證

来源:https://www.cnblogs.com/catt1e/archive/2020/03/07/12437132.html
-Advertisement-
Play Games

Weblogic各類漏洞的日誌分析和調查取證 一、WebLogic簡介: 1.WebLogic簡介: WebLogic是著名的Oracle公司開發的Application Server,是第一個成功商業化的J2EE中間件、容器,用於開發、集成、部署、管理大型&分散式Web應用、網路應用和資料庫應用等 ...


Weblogic各類漏洞的日誌分析和調查取證

一、WebLogic簡介:

  1.WebLogic簡介:

  WebLogic是著名的Oracle公司開發的Application Server,是第一個成功商業化的J2EE中間件、容器,用於開發、集成、部署、管理大型&分散式Web應用、網路應用和資料庫應用等;

  WebLogic是基於標準化、模塊化的組件,提供完整的服務,無需編程即可自動處理應用行為的很多細節;

  Weblogic使用獨有的T3協議(T3協議:WebLogic最早由 WebLogic Inc. 開發,後併入BEA公司,最終BEA公司又併入Oracle公司,T3協議為BEA公司的內部協議);

  Weblogic的市場份額還算比較穩定,主要在大型商用系統使用,高併發,與Oracle的產品線聯動配合,如圖(2017年Java應用服務市場份額占比):

 

   2.WebLogic漏洞介紹:

  <1>.漏洞介紹:

    近年來,縫縫補補的Weblogic,深受Java反序列、SSRF、組件Getshell、弱口令等高危漏洞影響,如圖(Weblogic反序列化漏洞歷史):

漏洞影響:Weblogic 10.3.x、Weblogic 12.1.x、Weblogic 12.2.x等系列產品

    序列化與反序列化技術:

      序列化和反序列化,是Java引入的數據傳輸和存儲介面技術;

      序列化:用於將對象(Object)轉換成二進位串數據存儲,對應著writeObject方法;

      反序列化:洽好相反,將二進位串數據轉換成對象(Object),對應著readObject方法,

      序列化與反序列化,是讓Java對象脫離Java運行環境的一種手段,可以有效的實現多平臺之間的通信、對象持久化存儲。

    反序列化使用場景:

      HTTP:多平臺之間的通信、管理等;

      RMI:Java的一組擁護開發分散式應用程式的API,實現了不同OS之間程式的方法調用(註:RMI傳輸,100%基於反序列化。Java RMI的預設埠是1099埠;)。

      JMX:JMX是一套標準的代理和服務,用戶可在任何Java應用程式中使用這些代理和服務實現管理(註:Weblogic管理頁面是基於JMX開發的,JBoss整個系統都基於JMX構架。)。

 

 

   <2>.漏洞分析:

    CVE-2015-4852:

      Apache commons-collections組件的反序列化漏洞,基於T3;

      存在漏洞的Class:

        org.apache.commons.collections.functors* *;

        com.sun.org.apache.xalan.internal.xsltc.trax* *;

        javassist* *;

        org.codehaus.groovy.runtime.ConvertedClosure;

        org.codehaus.groovy.runtime.ConversionHandler;

        org.codehaus.groovy.runtime.MethodClosure;

    CVE-2016-0638:

      readExternal存在反序列化漏洞;

    CVE-2016-3510:

      反序列化對象,封裝進weblogic.corba.utils.MarshalledObject,可順利對MarshalledObject序列化;在反序列化時,MarshalledObject對象調用readObject,對 MarshalledObject封裝的序列化對象再次反序列化,導致,逃過

黑名單的檢查。

 

    CVE-2017-3506:

      由於使用了存在反序列化缺陷XMLDecoder導致的漏洞,基於http協議,挖礦主力軍;

    CVE-2017-10271:

      是3506的繞過;

    CVE-2017-10352:

      XMLDecoder庫存在缺陷導致任意代碼執行,PoC被泄露,被用於黑產;

    CVE-2017-3248:

      RMI機制的缺陷,通過JRMP協議,達到執行任意反序列化Payload的目的;

      resolveClass和resolveProxyClass都存在漏洞,被用於黑產(挖門羅幣等);

    CVE-2018-2628:

      CVE-2017-3248的繞過,基於StreamMessage封裝,利用java.rmi.activation.Activator繞過補丁中對java.rmi.registry.Registry的限制。

    CVE-2018-2893:

      如下的類被繞過,導致反序列化:

        java.rmi.activation.*;

        sun.rmi.server.*;

        java.rmi.server.RemoteObjectInvocationHandler;

        java.rmi.server.UnicastRemoteObject;

    應急場景中常見的Weblogic漏洞,還有:

      Console弱口令(weblogic/weblogic);

      SSRF;

      WLS組件命令執行漏洞。

二、日誌分析(使用E.L.K處理日誌):

  Weblogic日誌主要分為:Server日誌、HTTP日誌和DOMAIN日誌;

  1.Server日誌:

    主要功能:記錄Weblogic Server啟動至關閉過程中的運行信息和錯誤信息

    日誌結構:時間戳、嚴重程度、子系統、電腦名、伺服器名、線程 ID、用戶 ID、事務 ID、診斷上下文 ID、原始時間值、消息 ID 和消息文本。

    例如:####<Mar 4, 2019 9:42:07 AM CST> <Warning> <RMI> <localhost.localdomain> <AdminServer> <[ACTIVE]ExecuteThread: '4' for queue: 'weblogic.kernel.Default (self-tuning)'> <<WLS Kernel>> <> <> 080003>

<RuntimeException thrown by rmi server:<1551663727980> <BEA-weblogic.common.internal.RMIBootServiceImpl.authenticate(Lweblogic.security.acl.UserInfo;)

  2.DOMAIN日誌:

    主要功能:記錄一個DOMAIN下的各個Weblogic Server的啟動至關閉過程中的運行信息和錯誤信息。

    日誌結構:####<Oct 18, 2018 2:21:11 PM CST> <Notice> <Security> <WIN-L25PQAJM1K1> <AdminServer> <[ACTIVE]ExecuteThread: '9' for queue: 'weblogic.kernel.Default (self-tuning)'> <<WLS Kernel>> <> <> <1539843671288> <BEA-090082> <Security initializing using security realm myrealm.>

    註:Domain日誌中的日誌記錄不會按照其時間戳順序寫入;

      DOMAIN日誌中記錄的時間戳是發出消息的伺服器的時間戳;

      有可能伺服器在一段時間內無法與域伺服器聯繫,此時,消息會被緩衝在本地併在重新連接伺服器之後發送到管理伺服器。

  3.HTTP日誌:  

    預設情況下,HTTP日誌記錄處於啟用狀態;

    伺服器會將 HTTP 請求保存到單獨的日誌文件中;

    伺服器不會將 HTTP 請求存儲在伺服器日誌文件或域日誌文件中;

    預設按文件大小滾動和輪詢,大小是5000KB;

    擴展日誌記錄格式欄位:c-ip cs-username date cs-method cs-uri sc-status cs(User-Agent) s-sitename s-port time-taken sc-substatus cs-host cs-version

      欄位解釋:

        c-ip: 客戶端訪問服務端的IP;

        cs-username: 客戶端訪問服務端使用的用戶名,匿名訪問則使用占位符(-)代替;

        date : 訪問的日期;

        time : 訪問的時間;

        cs-method : 客戶端請求的方法;

        cs-uri: 客戶端請求伺服器的URL;

        sc-status: 伺服器響應的狀態碼;

        cs(User-Agent) : 瀏覽器的信息;

        s-sitename: 互聯網請求的名稱,通常是一個占位符;

        s-port: 服務的埠號;

        time-taken: 完成整個訪問請求所花費的時間(秒);

        sc-substatus: 子狀態嗎,通常是一個占位符;

        cs-host: 伺服器的header頭部;

        cs-version: 協議的版本號


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 除基於屬性的動畫系統外,WPF提供了一種創建基於幀的動畫的方法,這種方法只使用代碼。需要做的全部工作是響應靜態的CompositionTarge.Rendering事件,觸發該事件是為了給每幀獲取內容。這是一種非常低級的方法,除非使用標準的基於屬性的動畫模型不能滿足需要(例如,構建簡單的側邊滾動游戲 ...
  • 事件的基本使用 聲明一個事件很簡單,只需在聲明一個委托對象時加上event關鍵字就行。如下: public delegate void PriceChangedHandler (decimal oldPrice, decimal newPrice);public class IPhone6 { pu ...
  • 如果要擴展LINQ查詢方法集,只需要為IEnumerable<T>擴展方法。 第一種:擴展聚合方法,類似已有的Max、Min,可以給具體類型擴展,也可以給泛型擴展。 using System; using System.Collections; using System.Collections.Ge ...
  • 場景:動態庫UFileDev(運行時版本v4.0.30319)內置方法調用了動態庫ICSharpCode.SharpZipLib(運行時版本v2.0.50727)。調用動態庫UFileDev過程中一直報錯如下: Pre-bind state information LOG: DisplayName ...
  • 前言 Linq 是 C# 中一個非常好用的集合處理庫,用好了能幫我們簡化大量又臭又長的嵌套迴圈,使處理邏輯清晰可見。EF 查詢主要也是依賴 Linq。但是 Linq 相對 sql 也存在一些缺點,最主要的就是動態構造查詢的難度。sql 只需要簡單進行字元串拼接,操作難度很低(當然出錯也相當容易),而 ...
  • /// <summary> /// 財政部mca /// http://www.mca.gov.cn/article/sj/xzqh/1980/ /// https://github.com/zzzprojects/html-agility-pack /// https://github.com/l ...
  • 分散式系統衛星時鐘伺服器(NTP伺服器)架設與設計 分散式系統衛星時鐘伺服器(NTP伺服器)架設與設計 本文由安徽京準科技提供支持和原資料——更多闡述可參考微♥ ahjzsz 分散式系統由Tanenbaum定義,“分散式系統是一組獨立的電腦,在”分散式系統 — 原理和範例“中作為用戶的單一,連貫的 ...
  • 聲明部分: const int WM_GETTEXT = 0x000D; const int WM_GETTEXTLENGTH = 0x000E; [DllImport("user32.dll", EntryPoint = "SendMessageA")] public static extern ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...