Cómo controlar el servidor weblogic usando el servicio HTTPS abierto
Cuando se utiliza una puerta de enlace SSL para proporcionar servicios HTTPS, la arquitectura de red es como se muestra en la siguiente figura (se omiten los dispositivos irrelevantes, lo mismo a continuación).
La puerta de enlace SSL solo reenvía datos del protocolo HTTP hacia atrás y no reenvía datos del protocolo T3 al servidor weblogic, por lo que en este caso, la vulnerabilidad de deserialización JAVA de weblogic no se puede explotar a través de la red pública.
Utilice el equilibrio de carga para proporcionar servicios HTTPS
Cuando se utiliza el equilibrio de carga para proporcionar servicios HTTPS, la arquitectura de red es como se muestra en la siguiente figura.
Por razones de seguridad, el equilibrio de carga debe optar por reenviar el protocolo HTTP en lugar de TCP, por lo que, en este caso, la vulnerabilidad de deserialización JAVA en weblogic no se puede explotar a través de la red pública.
Utilice un proxy de red para proporcionar el servicio HTTPS
Cuando se utiliza un proxy de red (como apache, nginx, etc.) para proporcionar el servicio HTTPS, la arquitectura de la red es la siguiente.
Los servidores proxy de red solo reenvían datos del protocolo HTTP hacia atrás, por lo que la vulnerabilidad de deserialización JAVA en weblogic tampoco se puede explotar a través de la red pública en este caso.
Utilice weblogic para proporcionar servicios HTTPS
Cuando se utiliza weblogic para proporcionar servicios HTTPS, la arquitectura de red es la siguiente.
Weblogic es capaz de recibir datos del protocolo T3 cifrados mediante SSL, por lo que en este caso es posible explotar la vulnerabilidad de deserialización JAVA de weblogic a través de una red pública.
Según el análisis anterior, es posible explotar la vulnerabilidad de deserialización JAVA de weblogic solo cuando weblogic proporciona servicios HTTPS.
0x02 Analiza el formato del protocolo T3 cuando weblogic abre el servicio SSL
Para explotar la vulnerabilidad de deserialización JAVA de weblogic, debes enviar el encabezado del protocolo T3 a weblogic. Para poder explotar la vulnerabilidad de deserialización de JAVA en weblogic que proporciona servicios SSL, primero debe analizar el formato del protocolo T3 cuando weblogic proporciona servicios SSL.
Los paquetes SSL están cifrados y no se pueden analizar directamente y es necesario descifrarlos. Cuando se conoce la clave privada SSL, se puede utilizar Wireshark para descifrar datos de comunicación SSL.
Weblogic puede proporcionar servicios SSL utilizando un certificado SSL de demostración o un certificado SSL específico.
Puede utilizar dos métodos para el análisis, uno es utilizar el certificado SSL de demostración proporcionado por weblogic para el análisis y el otro es utilizar el certificado SSL generado por usted mismo para el análisis.
Utilice el certificado de demostración de weblogic para el análisis (Método 1)
Utilice el certificado de demostración de weblogic para abrir el servicio SSL
Inicie sesión en la consola de weblogic y seleccione "Habilitar SSL" en la casilla de verificación Puerto de escucha de AdminServer y complete el puerto de escucha SSL.
Verifique la configuración del almacén de claves de AdminServer y confirme que sea "Demo Identity and Demo Trust". Puede ver que el nombre del archivo del almacén de claves de demostración es "DemoIdentity.jks" y el nombre del archivo de la confianza de demostración. El almacén de claves es "DemoTrust.jks".
Al verificar la configuración SSL de AdminServer, puede ver que el alias de clave privada del almacén de claves de demostración es "DemoIdentity".
Inicie sesión en la consola de weblogic usando HTTPS y confirme que esté funcionando correctamente.
Inicie sesión en la consola de weblogic usando HTTPS.