Weblogic XMLDecoder 反序列化(CVE-2017-10271)漏洞复现
一、漏洞概述
1、漏洞编号:CVE-2017-10271
2、漏洞描述:WebLogic的 WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,可以构造请求对运行WebLogic中间件的主机进行攻击,执行任意命令。
3、受影响WebLogic版本:10.3.6.0.0,12.1.3.0.0,12.2.1.1.0,12.2.1.2.0
二、环境搭建
1、攻击机与靶机
攻击机:物理机;
靶机:Windows server 2003虚拟机,配置Java环境,并安装weblogic 10.3.6.0;
2、在虚拟机上配置java环境
配置好之后如下图所示;
3、在虚拟机上安装Weblogic
3.1> 官网下载(https://www.oracle.com/technetwork/middleware/weblogic/downloads/wls-main-097127.html),安装