WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)漏洞复现 - FreeBuf网络安全行业门户
1、介绍
名称:weblogic XMLDecoder反序列化漏洞(CVE-2017-10271)
编号:CVE-2017-10271
原理:Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。可以构造XML语句,上传一句话木马,getshell。
应用:weblogic
版本:
Weblogic 10.3.6.0, Weblogic 12.1.3.0, Weblogic 12.2.1.2, Weblogic 12.2.1.3 |
2、测试
2.1 搭建靶场
2.2 测试
(1)http://192.168.0.15:7001/,确认是weblogic
(2)http://192.168.0.15:7001/wls-wsat/CoordinatorPortType,