CVE-2020–2950 — Turning AMF Deserialize bug to Java Deserialize bug

Bug này của một anh nickname là GreenDog chứ không phải của mình nhé :>

INTRO

TARGET

SOME CASES

ANALYSIS

AMF Deserialize

CVE 2020 2950

oracle.bi.nanserver.fwk.servlet.as.BIRemotingServlet.handleRequest()
oracle.bi.nanserver.fwk.servlet.as.RemotingSvs.processCall()
oracle.bi.nanserver.fwk.servlet.as.RemotingSvs.deserializePacket()
trigger readExternal()
trigger setter to restore properties of Object
readExternal() to readObject()

THE GADGET

com.tangosol.coherence.servlet.AttributeHolder
ExternalizableHelper.readObject()
readObjectInternal()
readSerializable()
custom gadget to call ScriptEngineManager

RESULT

Nub-boi