2. 程式人生 > >weblogic CVE-2017-10271修復教程

weblogic CVE-2017-10271修復教程

阿新 發佈:2017-12-26
3.6 load clu 3.1 war coo 測試 修復 sta

1.簡介

CVE-2017-10271是weblogic wls-wsat組件的一個xml反序列化漏洞,可造成遠程命令執行。更詳細分析可見參考鏈接,本文強調在進行參考鏈接修復中的一些細節。

2.影響版本

OracleWebLogic Server10.3.6.0.0
OracleWebLogic Server12.1.3.0.0
OracleWebLogic Server12.2.1.1.0
OracleWebLogic Server12.2.1.2.0

打了B25A及其之前版本的補丁都沒用,需要打2017年10月的補丁(FMJJ)

3.處理辦法

3.1臨時處理辦法

刪除wls-wsat組件,然後重啟weblogic(weblogic安裝路徑和domain名等根據自己實際情況修改)

rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
cd /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/bin
.
 
/stopWebLogic.sh
./startWebLogic.sh &

說明:

1.一定要把前兩個文件刪掉再重啟,只刪其中一個或者刪了一個重啟後再刪另外一個都是不能修復。原理上是在啟動時1會復制到2,然後2會被緩存到內存(不是3)。如果只刪除2那再啟動時又復制回來顯然沒效果;如果只刪除1那重啟時2並不會被清除,所以還是沒效果;如果重啟完再刪除由於已緩存到內存所以也沒效果。緩存到內存只是我的猜測,因為實踐測試就是啟了再刪漏洞還是未修復而在磁盤上又找不到vm-wsat組件在哪。

2.第三個文件不懂是什麽只是各說明都要要刪然後確實也是vm-wsat所以這裏也刪了,實踐來看不刪也修復了的。

3.刪了這幾個文件(夾)後需要重啟才能生效。只刪不重啟效果和1中所說的重啟了再刪結果一樣的,內存中還有緩存漏洞還是沒修復。

4.vm-wsat只在控制臺所以,對控制臺server進行重啟即可。

5.直接的驗證方法是訪問,http://192.168.220.128:9000/wls-wsat//CoordinatorPortType11(ip和端口改成自己的),如是404則說明已成功刪除。如果類似下面結果則未成功刪除

技術分享圖片

3.2打補丁

到官網下載p26519424_1036_Generic.zip(FMJJ)打上即可

cd /home/WebLogic/Oracle/Middleware/utils/bsu  #進入bsu目錄
mkdir -p cache_dir/backup                      #創建backup目錄用於備份
mv cache_dir/* cache_dir/backup                #確保cache_dir下原來沒有補丁
unzip p26519424_1036_Generic.zip -d /home/WebLogic/Oracle/Middleware/utils/bsu/cache_dir #將補丁解壓到cache_dir
mv cache_dir/patch-catalog_25504.xml cache_dir/patch-catalog.xml       #重命名patch-catalog
./bsu.sh -install -patchlist=FMJJ -patch_download_dir=./cache_dir/ -prod_dir=../../wlserver_10.3/   #打FMJJ補丁

如果之前打了B25A等補丁直接打會報沖突Patch FMJJ is mutually exclusive and cannot coexist with patch(es): B25A,先將B25A等沖突的補丁卸載即可(weblogic新補丁包含之前補丁的更改可放心卸載)。

./bsu.sh -remove -patchlist=B25A  -prod_dir=../../wlserver_10.3/

說明:

1關於打補丁時要不要停weblogic,按習慣是都先停了再打,但是按實際試驗看不停就打除了打時服務可能會卡一點外功能也都正常。從原理上看,安裝補丁的過程是歸檔有問題的文件然後使用新文件替代;卸載補丁的過程是移除該補丁相關的文件然後從歸檔文件中還原原先的文件,從這角度上看不會造成功能缺失。由於前述的緩存到內存所以功能未重啟前功能也正常。

2打了補丁之後一樣要重啟weblogic才能生效,這是驗證過的。

4.POC

嚴謹的安全工作者,講究“no exp say jb”,在github上可以找到兩個,一個python版本一個java版本,這都沒試過但意思感覺和手頭上的差不多應該沒什麽問題

https://github.com/search?utf8=%E2%9C%93&q=CVE-2017-10271&type=

技術分享圖片

參考:

http://www.cnvd.org.cn/webinfo/show/4331

http://blog.nsfocus.net/weblogic-solution/

http://blog.nsfocus.net/weblogic-xmldecoder-rce/

weblogic CVE-2017-10271修復教程

相關推薦

weblogic CVE-2017-10271修復教程

3.6 load clu 3.1 war coo 測試 修復 sta 1.簡介 CVE-2017-10271是weblogic wls-wsat組件的一個xml反序列化漏洞,可造成遠程命令執行。更詳細分析可見參考鏈接,本文強調在進行參考鏈接修復中的一些細節。 2.影響版

記錄WebLogic(CVE-2017-10271)反序列化漏洞找WEBSHELL地址

記錄WebLogic(CVE-2017-10271)反序列化漏洞找WEBSHELL地址 首先,郭姓某牛丟來了一個有weblogic漏洞的地址http://x.x.x.x:7001 說用k8的weblogic2628去getshell不能連結shell,我也試了下,好像確實不能連

WebLogic中WLS 組件漏洞(CVE-2017-10271)專項檢測工具

風險 bsp load 服務 app mage www 趨勢 新的 來源: 時間:2017-12-23 00:00:00 作者:  瀏覽:1929 次 近期安恒信息在應急響應過程中發現有惡意攻擊者利用WebLogic漏洞對企業服務器發起大範圍遠程攻擊,攻擊成功後植入挖

Weblogic 小於10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271

之前本來複現過一次的,結果後來資料丟了,只好再來一遍。 沒找到在linux下命令列安裝的方法,於是直接在windows上安裝算了。 12.2.1.2.0下載: https://download.oracle.com/otn/nt/middleware/12c/12212/fmw_

Weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271)檢測與利用復現

Weblogic的WLS Security元件對外提供webservice服務,其中使用了XMLDecoder來解析使用者傳入的XML資料,在解析的過程中出現反序列化漏洞,導致可執行任意命令。 漏洞環境搭建 可以參考: https://blog.csdn.net/q

weblogic新漏洞學習cve-2017-3506

pac 服務 sch window decode sin body for pro 一、原理:   很明顯啦,readobject又出來背鍋了,一個XML的反序列化漏洞導致的命令執行。   具體原理我看不懂java代碼的我也只能學習別人的分析。給出一篇參考文章,寫的非常詳細

weblogicCVE-2017-3248,CVE-2018-2628,CVE-2018-2893,CVE-2018-3245反序列繞過分析

關系 tail def nsa rem 獲取 cli ext 執行 說一下復現CVE-2017-3248可以參考p牛的環境,p牛的環境CVE-2018-2628實際就是CVE-2017-3248,他漏洞編號這塊寫錯了。 攻擊流程就如下圖,攻擊者開啟JRMPListener監

WebLogic反序列化漏洞(CVE-2017-3248)

使用Java 7和Java 8均可成功復現。 漏洞復現 先啟動weblogic(終端#1) ➜ base_domain ./startWebLogic.sh 在某埠監聽(接收反彈shell) ➜ ysoserial nc -klv 7777 Listeni

Weblogic 'wls-wsat' XMLDecoder 反序列化_CVE-2017-10271漏洞復現

Weblogic 'wls-wsat' XMLDecoder 反序列化_CVE-2017-10271漏洞復現 一、漏洞概述  WebLogic的 WLS Security元件對外提供webservice服務,其中使用了XMLDecoder來解析使用者傳入的XML資料,在解析的過程中出現反序列化漏

[CVE-2017-5487] WordPress <=4.7.1 REST API 內容註入漏洞分析與復現

tps 文章 分析 請求 利用 api文檔 each includes 什麽 不是很新的漏洞,記錄下自己的工作任務 漏洞影響: 未授權獲取發布過文章的其他用戶的用戶名、id 觸發前提:wordpress配置REST API 影響版本:<= 4.7 0x01漏洞

CVE-2017-8464復現 (遠程快捷方式漏洞)

遠程 們的 apach bject nom nbsp windows pre mage 我們的攻擊機IP是192.168.222.133   目標機IP是192.168.222.132 我們首先生成一個powershell msfvenom -p windows/x64/m

Nginx敏感信息泄露漏洞(CVE-2017-7529)

泄露 內存 構造 一次 .com openss erro 這樣的 技術 2017年7月11日,為了修復整數溢出漏洞(CVE-2017-7529), Nginx官方發布了nginx-1.12.1 stable和nginx-1.13.3 mainline版本,並且提供了官方pa

LNK文件(快捷方式)遠程代碼執行漏洞復現過程(CVE-2017-8464)

abi cred starting compute appear pda info 等級 server 漏洞編號:CVE-2017-8464 漏洞等級:嚴重 漏洞概要:如果用戶打開攻擊者精心構造的惡意LNK文件,則會造成遠程代碼執行。成功利用此漏洞的攻擊者可以獲得與本地

【漏洞預警】CVE-2017-8464 震網三代漏洞復現(兩種利用方法)

art cal mage http test ip地址 get for oot 早在6月13日,微軟發布補丁修復編號為CVE-2017-8464的漏洞,本地用戶或遠程攻擊者可以利用該漏洞生成特制的快捷方式,並通過可移動設備或者遠程共享的方式導致遠程代碼執行,追溯到以前,NS

Office遠程代碼執行漏洞CVE-2017-0199復現

read 方式 觀察 data n3k -s 執行 rip 最大限度 在剛剛結束的BlackHat2017黑帽大會上,最佳客戶端安全漏洞獎頒給了CVE-2017-0199漏洞,這個漏洞是Office系列辦公軟件中的一個邏輯漏洞,和常規的內存破壞型漏洞不同,這

Microsoft Edge 瀏覽器遠程代碼執行漏洞POC及細節(CVE-2017-8641)

ive buffer png serer virt pil binding nproc mil 2017年8月8日,CVE官網公布了CVE-2017-8641,在其網上的描述為: 意思是說,黑客可以通過在網頁中嵌入惡意構造的javascript代碼,使得微軟的瀏覽器(如E

Office CVE-2017-8570遠程代碼執行漏洞復現

pytho pack root 一個 strong -o 激活 meta 相同 實驗環境 操作機:Kali Linux IP:172.16.11.2 目標機:windows7 x64 IP:172.16.12.2 實驗目的 掌握漏洞的利用方法 實驗

Tomcat代碼執行漏洞(CVE-2017-12615)的演繹及個人bypass

ros star quest odi -s 官方 argv 特性 ~~ 0x00 漏洞簡介 2017年9月19日,Apache Tomcat官方確認並修復了兩個高危漏洞。 漏洞CVE編號:CVE-2017-12615和CVE-2017-12616。 其中 遠程代碼執行漏洞(

寧哥自編自導自演的《C語言,好爽》第7版(2017年)教程內容

Apache Tomcat CVE-2017-12615遠程代碼執行漏洞分析

文件 only html ive zip pre clas one 判斷 2017年9月19日, Apache Tomcat官方發布兩個嚴重的安全漏洞, 其中CVE-2017-12615為遠程代碼執行漏洞,通過put請求向服務器上傳惡意jsp文件, 再通過jsp文件在服