12月22号,绿盟科技博客发布一篇文章,里面有提及到weblogic由于存在0day漏洞,导致被植入恶意软件用来挖掘比特币。后来经过确认,这次***者所用的漏洞CVE编号为CVE-2017-10271,那么这个漏洞究竟是怎样造成的?
0. 分析环境
IDE:Intellij IDEA
中间件版本: weblogic 10.3.6【未进行任何补丁修复】
发包工具: brupsuite
1. 漏洞成因
我们先来看一下,网上公布的poc进行利用后的weblogic返回的响应,公布的利用poc如下:
/bin/bash
-c
gedit
如下图所示,可以看到返回的是xml数据,而且可以清晰的看到调用栈,调用栈在标签中
仔细分析weblogic返回的响应,我们可以大概定位到问题点,我们重点关注标签中class以weblogic开头的部分,这部分就是weblogic处理我们请求的调用栈逻辑,weblogic处理完后就到了XMLDecoder
Step 1. 了解处理流程(为了方便查看,调用栈顺序为从上倒下)
weblogic.wsee.jaxws.workcontext.WorkContextServerTube->proce***equest
weblogic.wsee.jaxws.workcontext.WorkContextTube->readHeaderOld
weblogic.wsee.jaxws.workcontext.WorkContextServerTube->receive
weblogic.workarea.WorkContextMapImpl->receiveRequest
weblogic.workarea.WorkContextLocalMap->receiveRequest
weblogic.workarea.spi.WorkContextEntryImpl->readEntry
weblogic.wsee.workarea.WorkContextXmlInputAdapter->readUTF
Step 2.下断点调试
我们将断点设置在weblogic.wsee.jaxws.workcontext.WorkContextServerTube的proce***equest方法中readHeaderOld,如下图所示
Step 3.调试运行,跟踪
proce***equest中,var1为我们POST的xml数据,类型为Packet;
var3的值有是var2调用get方法后得来的,我们查看一下WorkAreaConstants.WORK_AREA_HEADER的内容,如下图所示
对比Poc内容与WorkAreaContants里面的XML_TAG、WORK_AREA_HEADER,我们不难联想到var2.get方法是用来获取work:WorkContext标签之间的内容。
2.readHeaderOld中,我们直接设置断点到weblogic调用栈最后一个函数WorkContextXmlInputAdapter,查看调用函数的参数值是什么?
可以看到,var4其实对应的是java标签内的代码
3.WorkContextXmlInputAdapter中,没有任何过滤就直接调用XMLDecoder方法,而XMLDecoder本身是用于将XML文件反序列成java的对象,因而造成的漏洞的发生。
归根结底,还是weblogic犯了编码上的错误,完全信任用户的输入,然后调用XMLDecoder进行反序列,导致了这个漏洞的发生。
参考链接
466
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
