# Weblogic XMLDecoder 反序列化远程代码执行漏洞 CVE-2019-2725

## 漏洞描述

由于在反序列化处理输入信息的过程中存在缺陷，未经授权的攻击者可以发送精心构造的恶意 HTTP 请求，利用该漏洞获取服务器权限，实现远程代码执行。

参考链接：

- https://github.com/TopScrew/CVE-2019-2725

## 漏洞影响

```
Weblogic 10.3.6
Weblogic 12.1.3
```

影响组件：

```
bea_wls9_async_response.war
wsat.war
```

## 环境搭建

Vulhub 搭建 weblogic 10.3.6.0 环境：

```
git clone https://github.com/vulhub/vulhub.git
cd vulhub/weblogic/CVE-2017-10271
docker-compose up -d
```

启动完成后访问`http://your-vps-ip:7001/console`可以看到管理界面。

![](images/Weblogic%20XMLDecoder%20反序列化远程代码执行漏洞%20CVE-2019-2725/image-20240422141240591.png)

## 漏洞复现

命令执行：

```
python weblogic-2019-2725.py 10.3.6 http://your-ip:7001/ whoami
```

![](images/Weblogic%20XMLDecoder%20反序列化远程代码执行漏洞%20CVE-2019-2725/image-20240422141353331.png)

上传 webshell：

```
python weblogic-2019-2725.py 10.3.6 http://your-ip:7001/
```

![](images/Weblogic%20XMLDecoder%20反序列化远程代码执行漏洞%20CVE-2019-2725/image-20240422141512885.png)

![](images/Weblogic%20XMLDecoder%20反序列化远程代码执行漏洞%20CVE-2019-2725/image-20240422141502892.png)

## 漏洞POC

- https://github.com/TopScrew/CVE-2019-2725