1. 漏洞简介

2017年4月Oacle官方安全通告, 包含了对与CVE编号CVE-2017-3506的修复补丁, wls-wsat这个提供的web service服务中, 处理xml数据的的时候, XMLDecoder的反序列化漏洞风险, 同年10月份的补丁中的则是对其绕过的修复, CVE编号为CVE-2017-10271.

2019年4月17日, CNVD 发布《关于Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞的安全公告》, 部分版本WebLogic中默认包含的wls9_async_response包, 为WebLogic Server提供异步通讯服务.由于该WAR包在反序列化处理输入信息时存在缺陷, 攻击者可以发送精心构造的恶意 HTTP 请求, 获得目标服务器的权限, 在未授权的情况下远程执行命令.

2. 影响组件

WebLogic 10.X

WebLogic 12.1.3

3. 漏洞指纹

/wls-wsat/CoordinatorPortType
/_async/AsyncResponseService
/_async/AsyncResponseServiceSoap12

4. Fofa Dork

app="WebLogic-Server"

5. 漏洞分析

(CVE-2017-3506 &CVE-2017-10271)
http://xxlegend.com/2017/12/23/Weblogic%20XMLDecoder%20RCE%E5%88%86%E6%9E%90/

CVE-2019-2725
https://paper.seebug.org/909/

6. 漏洞利用

weblogicScanner
https://github.com/0xn0ne/weblogicScanner

7. 利用技巧

1.由于nginx转发问题, 尝试这种路径, 可能有惊喜

/../wls-wsat/CoordinatorPortType11
/../_async/AsyncResponseService

2.Weblogic 写shell有个技巧

可以通过find/grep命令查找静态文件的路径, 然后将命令结果输出到静态文件夹中, 比如查找前台的logo.png / /static/css/main.css

8. 防护方法

1.通过访问策略控制禁止外部/_async/ 及 /wls-wsat/路径的URL访问;

2.删除对应war包并重启 webLogic;

3.限制源IP对应 weblogic 7001端口的访问.

标签: weblogic

添加新评论