怎么进犯黑客:对WebLogic缝隙及补丁的剖析

本年早些时候，有研究人员发现并发布了Oracle WebLogic中的一个反序列化缝隙。这个缝隙比较严重，因此Oracle打破正常按季度发布补丁的常规，专门发布紧迫更新。不幸的是，研究人员很快就意识到攻击者有或许绕过这个补丁。
官方补丁有时候不能彻底处理某个安全问题，这似乎是现在的一个趋势，Oracle也不破例。本文介绍了一个目录遍历缝隙，官方通过屡次补丁才批改该缝隙。Oracle最早在2019年4月份通过CVE-2019-2618批改这个缝隙，但随后又在7月份发布了批改补丁。
 
0x01 缝隙细节
Oracle WebLogic是用来构建和布置Java Enterprise Edition（EE）运用的运用服务器。在默许安装下，WebLogic服务器会包括各种运用，以便保持和配备相关域名及运用。比方其间有个bea_wls_deployment_internal.war运用，该运用有个上传文件功用。通过身份认证后，用户可以向/bea_wls_deploymentpf.mdmp_memory_info_list_internal/DeploymentService发送恳求来上传文件。
假设恳求头部中的wl_request_type值为app_upload或许plan_upload，那么运用就会调用handlePlanOrApplicationUpload()。ha // Don't run re-entrantly to avoid exploding call stacks for requests thatndlePlanOrApplicationUpload() *** 会验证wl_upload_application_name字段值，并且会检查两种目录遍历字符：../以及/..：

图1. 检查目录遍历字符（这儿我们添加了一些注释）
user_projectsdomains[DOMAIN NAME]serversAdminServerupload途径存储在uploadingDirName变量中，服务器将wl_upload_application_name字段值作为该途径的子目录来运用。如图1代码中所示，服务端会将用户可控的wl_upload_application_name值附加到uploadingDirName中，然后以saveDirectory参数 *** 传递给doUploadFile()。doUploadFile()函数会运用恳求中的文件名参数在该方位创立一个文件。

图2. doUploadFile()函数
wl_upload_application_name以及filename字段都存在目录遍历缝隙。2019年4月，Oracle测验通过CVE-2019-2618批改这个目录遍历问题。在CVE-2019-2618补丁中，官方加了一些处理逻辑，在wl_upload_application_name字段中又检查了两种目录遍历字符：..以及..：

关于filename字段，CVE-2019-2618补丁中对doUploadFile()新增了一处检查，保证保存文件的毕竟途径包括saveDir所指定的正确目录。saveDir的值为user_projectsdomains[DOMAIN NAME]serversAdminServeruploa在我陈说了缝隙的那个星期的星期天晚上，GitLab 团队对我的缝隙陈说做出了回应。d[UPLOAD_APP]，其间[UPLOAD_APP]的值坐落wl_upload_application_name中。假设filename变量包括目录遍历字符，并且不包括saveDir