XMLDecoder反序列化漏洞检测思考

XMLDecoder反序列化漏洞

poc

读取xml文件进行反序列化漏洞时可以执行任意代码：

具体的漏洞原因不展开了。

CVE-2017-10271weblogic反序列化漏洞

poc

XMLDecoder反序列化漏洞检测思考

调用链

XMLDecoder反序列化漏洞检测思考

漏洞原因

WorkContextServerTube.java中processRequest方法，主要功能就是分割整个xml，抽取真正执行的xml交给readHeadOld方法。

XMLDecoder反序列化漏洞检测思考

var4的内容已为XMLDecoder反序列化漏洞payload部分

最终传输到redaUTF()函数进行xmldecoder反系列化操作，触发漏洞。

XMLDecoder反序列化比较严重的几个漏洞主要是在Weblogic系列，其原因还是weblogic太相信客户的输入导致触发了反序列化漏洞。关于其旁路检测与防护Weblogic主要是检测相关路由和黑名单修补的标签即可，最后的补丁版本也是用的白名单了。

XMLDecoder漏洞的话直接检测xml部分包含java.beans.XMLDecoder且同时包含能够执行命令的类java.lang.Runtime或者java.lang.ProcessBuilder报警即可。

vlambda博客
学习文章列表