wls-wsat XMLDecoder 反序列化漏洞(CVE-2017-10271)
Weblogic的WLS Security组件对外提供webservice服务,其中使
用了XMLDecoder来解析用户传入的XML数据,在解析的过程中
出现反序列化漏洞,导致可执行任意命令。
影响范围:
Oracle WebLogic Server 10.3.6.0.0版本
Oracle WebLogic Server 12.1.3.0.0版本
Oracle WebLogic Server 12.2.1.1.0版本
1、访问http://172.16.222.142:7001/即可看到一个404页面,说
明weblogic已成功启动。
2、访问: http://172.16.222.142:7001/wls-wsat/CoordinatorPortT
ype,抓包,写入shell。
访问: http://172.16.222.142:7001/bea_wls_internal/test.jsp
工具:weblogic XML反序列化检查工具
weblogic_wls_wsat_exp_win.py
命令: python .\weblogic_wls_ws
at_exp_win.py -t 172.16.222.142:7001 -c ifconfig
评论0
最新资源