java 反序列化漏洞 weblogic版本_WebLogic XMLDecoder反序列化漏洞（CVE-2017-10271)漏洞分析...

12月22号，绿盟科技博客发布一篇文章，里面有提及到weblogic由于存在0day漏洞，导致被植入恶意软件用来挖掘比特币。后来经过确认，这次***者所用的漏洞CVE编号为CVE-2017-10271，那么这个漏洞究竟是怎样造成的?

0. 分析环境

IDE:Intellij IDEA

中间件版本: weblogic 10.3.6【未进行任何补丁修复】

发包工具: brupsuite

1. 漏洞成因

我们先来看一下，网上公布的poc进行利用后的weblogic返回的响应，公布的利用poc如下:

/bin/bash

-c

gedit

如下图所示，可以看到返回的是xml数据，而且可以清晰的看到调用栈，调用栈在标签中

仔细分析weblogic返回的响应，我们可以大概定位到问题点，我们重点关注标签中class以weblogic开头的部分，这部分就是weblogic处理我们请求的调用栈逻辑，weblogic处理完后就到了XMLDecoder

Step 1. 了解处理流程(为了方便查看，调用栈顺序为从上倒下)

weblogic.wsee.jaxws.workcontext.WorkContextServerTube->proce***equest

weblogic.wsee.jaxws.workcontext.WorkContextTube->readHeaderOld

weblogic.wsee.jaxws.workcontext.WorkContextServerTube->receive

weblogic.workarea.WorkContextMapImpl->receiveRequest

weblogic.workarea.WorkContextLocalMap->receiveRequest

weblogic.workarea.spi.WorkContextEntryImpl->readEntry

weblogic.wsee.workarea.WorkContextXmlInputAdapter->readUTF

Step 2.下断点调试

我们将断点设置在weblogic.wsee.jaxws.workcontext.WorkContextServerTube的proce***equest方法中readHeaderOld，如下图所示

Step 3.调试运行，跟踪

proce***equest中，var1为我们POST的xml数据,类型为Packet;

var3的值有是var2调用get方法后得来的，我们查看一下WorkAreaConstants.WORK_AREA_HEADER的内容，如下图所示

对比Poc内容与WorkAreaContants里面的XML_TAG、WORK_AREA_HEADER，我们不难联想到var2.get方法是用来获取work:WorkContext标签之间的内容。

2.readHeaderOld中，我们直接设置断点到weblogic调用栈最后一个函数WorkContextXmlInputAdapter，查看调用函数的参数值是什么？

可以看到，var4其实对应的是java标签内的代码

3.WorkContextXmlInputAdapter中，没有任何过滤就直接调用XMLDecoder方法，而XMLDecoder本身是用于将XML文件反序列成java的对象，因而造成的漏洞的发生。

归根结底，还是weblogic犯了编码上的错误，完全信任用户的输入，然后调用XMLDecoder进行反序列,导致了这个漏洞的发生。

参考链接