Weblogic < 10.3.6 ‘wls-wsat‘ XMLDecoder 反序列化漏洞(CVE-2017-10271)

Weblogic < 10.3.6 “wls-wsat” XMLDecoder 反序列化漏洞(CVE-2017-10271)

复现环境:
vulhub
漏洞原因:
Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。
详细原因:
https://www.cnblogs.com/hetianlab/p/13534535.html
复现过程:

访问显示404,weblogic成功启动。:
Weblogic < 10.3.6 ‘wls-wsat‘ XMLDecoder 反序列化漏洞(CVE-2017-10271)_第1张图片
WLS Security组件存在:
Weblogic < 10.3.6 ‘wls-wsat‘ XMLDecoder 反序列化漏洞(CVE-2017-10271)_第2张图片

使用已构造好的poc,反弹shell成功:

注意请求头:Content-Type: text/xml

你可能感兴趣的:(Weblogic漏洞复现,xml,安全)