Weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271)

WebLogic XMLDecoder反序列化漏洞（CVE-2017-10271）

漏洞编号：CVE-2017-10271

漏洞描述：WebLogic WLS组件中存在CVE-2017-10271远程代码执行漏洞，使用精心构造的xml数据可能造成任意代码执行，攻击者只需要发送精心构造的 HTTP 请求，就可以拿到目标服务器的权限。。

受影响WebLogic版本：10.3.6.0.0，12.1.3.0.0，12.2.1.1.0，12.2.1.2.0。

漏洞原理：

 

漏洞利用：wls-wsat/CoordinatorPortType11，在ip地址后面加上下面后缀进行访问，出现下面内容说明可能存在漏洞。

CVE-2017-10271 是利用Oracle WebLogic中WLS 组件的反序列化漏洞进行远程代码执行的，此漏洞影响的版本为10.3.6.0.0、12.1.3.0.0、12.2.1.0.0和12.2.1.2.0。该漏洞的利用方法只需要向服务器页面 /wls-wsat/CoordinatorPortType 发送精心构造的 HTTP 请求，就可以执行相应的命令，完成相应的操作

构造POST包

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.8.148:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Upgrade-Insecure-Requests: 1
Content-Type: text/xml
Content-Length: 756


      
        
         
                    
            
        
      
      

访问http://192.168.18.151:7001/wls-wsat/test.txt  漏洞验证成功

通过反序列化检查工具检测可以看到确实存在漏洞。